NSX 从入门到精通（7）

“

NSX从入门到精通(6)：NSX 微分段架构、组件及实践 Part1

”一文中提到，NSX 使用基于对象的安全规则使得防火墙策略更加容易辨识。但对象始终是静态的东西，对于动态的业务来说，两者之间不一定有恒定的关联关系。因此 NSX 提出了安全组这一概念，可以简单理解为：安全组=业务组，或安全组=一组需要执行相同安全策略的虚拟机。

从安全策略制定上来说，会变为下图这样，安全组在中间，之上对应的是业务组，之后关联的是安全规则。

图1

这样做有一定的好处，举个例子：下面的Finance部门的用户和Finance部门的服务器都属于可能会变动的，如果使用静态的安全规则，当用户和服务器有任何变动，安全规则需要手动修改。

如果有安全组作为“容器”，动态将所有Finance部门用户关联在一个组，将Finance 部门的服务器关联到另一个组，针对两个安全组去做安全规则，未来用户再怎么变，安全规则是不用变的。

图2

为了能更精确地描述出一组业务，安全组包含多种匹配规则：

图3

举个例子：

将所有与部门 Finance 相关的 CentOS 虚拟机加到一个组。

安全组配置方式：

动态包含： 虚拟机名称包含 Fin 且 计算机操作系统名称包含 CentOS

静态包含：空

静态排除：空

对应在 NSX 中配置方法：

打开NSX配置>安全性>服务编排>安全组，点击“安全组”按钮

图4

安全组名称为：Finance CentOS 虚拟机

图5

动态成员规则第一条： 匹配虚拟机名称包含Fin；

动态成员规则第二条： 匹配虚拟机操作系统名称包含 CentOS；

两条规则需要同时匹配(全部匹配)。

图6

其他选项无需配置，直接点击完成。

返回查看安全组，已经关联了所有 Finance 的 CentOS 虚拟机。

图7

创建好安全组后，可以直接返回防火墙，使用安全组去建立防火墙规则：

图8

NSX 除了可以将虚拟机加组，也可以将多条安全规则设为组，在 NSX 中，这个功能叫“ 安全策略”。

使用安全策略，有以下功能和优点：

将多条安全规则（例如防病毒规则、DFW防火墙规则、第三方防火墙规则）嵌套在一起，应用在一个组上；

将安全策略做成组后，可以反复套用给各种业务；

替代传统防火墙策略设置规则，直接将安全策略应用给业务组。

图9

个人觉得，最实用的功能是1和2，使用3来创建安全规则会增大安全策略的理解难度。

NSX 现在已经集成了 EPSec 和 NetX 两个接口，分别用来集成第三方防病毒产品和NGFW产品。而集成各种安全产品的核心就是安全组和安全策略。

以 NSX 集成无代理防病毒软件为例，在 NSX 中，操作步骤是：

设置防病毒安全组，将需要进行安全防护的虚拟机加到该组（使用上面介绍的各种动态、静态匹配规则）；

图10

设置安全策略，在安全策略中配置 Guest Introspection 服务，将流量应用给第三方安全产品；

图11

将安全策略应用给安全组

图12

图13

为了让安全组与各种安全规则的关联关系更清晰，NSX 里多了个“画布 Canvas” 功能。画布可以围绕着安全组，展示与安全组相关的安全标记、虚拟机、安全策略、Guest Introspection规则、防火墙规则、NGFW 规则。

图14

在以前的文章中，介绍过 NSX 和杀毒软件联动做安全，而要实现这一功能，需要介绍 NSX 的另外一个组件：安全标记。

前两篇文章我们介绍了 NSX 防火墙的创建及使用，而这些规则都是基于 NSX 和 vCenter 的对象。而在有些时候，安全规则不能直接附加给基于 vCenter 的安全组。比如：

安全规则和 vCenter 的目录结构不能匹配；

基于名称的安全组可能因为名称被误修改而失效（尤其是有多个 vCenter 管理员时）；

第三方安全解决方案和 NSX 结合做安全联动；

第三方云管理平台和 NSX 结合去做安全。

使用安全标记后，架构会变成这样子，安全标记作为安全组的一个中间角色使用：

图15

如果要实现下图中的安全联动，则步骤为：

一旦防病毒软件查出虚拟机有病毒，为其打上 ANTI_VIRUS.VirusFound 的安全标记

基于安全标记预先配置安全组“隔离”

设置安全策略，规定虚拟机只能访问安全工具，不能访问其他任意网络

将安全组与安全策略做关联

图16

图17

小结：

以上两篇文章围绕着 NSX 防火墙的各种组件、组件之间的搭配使用、安全规则的制定、安全规则的易读性等方面内容，简单介绍了NSX分布式防火墙的应用场景。

在生产环境中，需要熟悉每个组件的功能和优势，在适宜的时候去使用。安全规则的制定没有统一的标准，但是有一个统一的目标：足够安全、管理方便。希望这两篇文章可以作为引子，帮助大家更好了解 NSX 带来的一系列变化，在不变与变化中取舍。