VMware NSX 筆記 (6) - NSX Security


NSX Edge Firewall

NSX Edge Firewall 擔任如同傳統硬體防火牆,也就是擋著「外 -> 內」的攻擊。NSX Edge Firewall 其實就是 vShield Edge VM,因為它是高度客製化的 Linux(VM),所以其實防火牆功能就是 NetFilter (IPTable)

預設情況下 Firewall Policy為「外 -> 內 Deny」,採取 Rules First-Match 的防火牆規則讀取方式,最多支援 2,000 筆規則,連線數的部份則跟部署的資源有關。

Firewall Rules 中有 Default, Internal, User 三種類型:
  • Default: 就是預設規則(可以多條或多組)。
  • Internal: User Define Chain (服務分類的概念),這樣的設計的目的是可以「降低規則比對次數,提升運作效能」,但只有系統自已使用,管理者無法手動建立此規則。
  • User: 實際執行的 Rules,GUI 設定只能是 User。

此外,比較特別的部份是可以識別 vSphere 相關物件如 Cluster, Resource Pool...等,且內建多種常用服務如 Exchange...etc,你可以選一堆組成 Service Group,以因應內部的 VM 服務。Incoming 角度是從 Edge 來看 (外 -> 內 VM),Outgoing 角度是從 Edge 來看 (內 VM -> 外)。



Distributed Firewall

以往的防火牆,只能擋住外到內的部份,主機之間的攻擊行為防護只能依靠 Guest OS 內建防火牆,但是在管控上並不方便且會影響效能。因此,不同於以往的設計 Distributed Firewall 是擋在「每台 VM」前面的 Firewall (所以 Guest OS Firewall 可以關閉)。



Distributed Firewall,它是內嵌在 VMkernel 當中(座落於 vNIC Level)。原則上可以處理 L2 ~ L4 (L2 MAC、L3 IP、L4 TCP/UDP/Port),在優先權上,L2 的 Rules 會優先處理。在 GUI 設定介面中「Ethernet」其實就是 L2 Rules,而「General」就是 L3,L4 Rule,簡單來說,Distributed Firewall會先比對 L2 Rule 後,再比對 L3,L4 Rule 最後比對 Default Rule。此外 Distributed Firewall Rules 會「跟著 VM 走」,所以不用怕 vMotion 之後防火牆規則會跑掉的問題。


在規則管理上由 vSphere Web Client 統一進行規則設定的動作,透過 NSX Manager 把防火牆規則派送到每一台所屬的 ESXi Host 當中 (NSX Controller 不負責這部份)。


在防火牆規則中的 SECTION 只是「容器」的概念(管理用途),跟先前提到 NSX Edge Firewall 的 Internal 不同。現在,透過 NSX 網路虛擬化的 Distributed Firewall 功能,除了能定義 VM 與 VM 之間是否能互通之外,即使不同網段的 VM 也能進行定義。


雖然 Distributed Firewall 防火牆規則看似複雜,但其實每台 VM 的 Distributed Firewall,只會載入必要的也就是跟自身有關的防火牆規則,跟自身無關的規則並不會載入。





Flow Monitoring

Flow Monitoring 功能,主要是看 NSX 物件相關流量以及除錯之用。同樣的,你可以透過 vSphere 的相關物件,來進行流量過濾的動作以便於你找出問題的根本原因。



Role-Based Access Control

Role-Based Access Control 驗證機制,可以支援 LDAP, Windows AD, NIS...等驗證方式。當然,在權限的部份也會有「繼承 (Inheritance)」的特性。



Service Composer

Service Composer 是一種 Template 的概念,它可以整合 3-Party 到 NSX 環境中如 IDS/IPS, Anti-Virus...等。匯入後,首先就是要跟 NSX Manager 進行介接的動作 (Register 的概念)。


舉例來說,當你導入防毒機制後,會進行 VM 掃描動作,若發現病毒則會將該 VM 移至「隔離區 (Quarantine)」,當威脅排除後才能回到正常工作區域。




Other Monitoring Options

除了剛才介紹的 Flow Monitoring 機制之外,你也可以使用 Syslog 機制來幫助你除錯並了解系統資訊。此外,也可以整合 vCenter Log Insight 機制。



學習資源






VMware NSX 攻略 - 系列文章