vShield保護虛擬化環境一例

本文以某企業虛擬化平臺爲例來講明vShield安全產品在保護企業應用方面的做用。該企業相關應用的拓撲結構以下：

 

 

本次重點關注的是一臺數據庫服務器，一臺應用服務器和兩臺Web服務器，它們構成了一個典型的三層結構。大多數企業的Web應用平臺都是這樣構成的。爲了檢測出當前系統中存在的安全問題，咱們在外網對上述四臺計算機進行掃描（這些計算機經NAT映射爲192.168.110.x地址），結果以下：

 

1，Web服務器上開放了下述三個端口，其中80端口供用戶訪問。

 

 

2，在應用服務器上開放了下述端口，其中1234供Web服務器訪問。

 

 

3，在數據庫服務器上開放了下述端口，其中3306是數據庫端口，供應用服務器訪問。

 

 

在內部10網段上執行掃描，結果相同。

 

根據掃描結果咱們發現，當前企業環境中存在的主要安全是：

1，網絡邊界沒有安全防禦，經過外網能夠訪問一些不該該開放的端口。

2，企業網絡內部主機與主機之間沒有安全防禦。

3，虛擬桌面用戶的資源訪問應該受到限制，僅向各虛擬桌面開放須要訪問的資源。

 

下面咱們經過部署兩種安全防禦手段（vShield Edge與vShield App）來解決上述問題。vShield Edge相似於邊界安全網關，用於防範來自外界的***行爲，主要提供路由，防火牆，地址轉換，DHCP，×××和負載平衡功能；vShield App是虛擬網卡級別的防火牆，用於防範來自內部網絡的***行爲。

 

目標：Web服務器僅對外開放80端口，且不容許從內部向外發起會話，應用服務器的1234端口僅對Web服務器開放，而DB服務器的3306端口僅嚮應用服務器開放。

 

具體實現方法：

 

1，首先，咱們須要在企業網絡與外部網絡之間部署一個邊界防火牆。以下圖，全部的虛擬機都鏈接在dvPortGroup - Application 1（10網段）上，所以咱們將邊界防火牆的內口也接到這一端口組，並將它的外口鏈接到外部網絡（dvPortGroup - External，192網段），這樣就把它跨接在內外網之間了。

 

 

接下來咱們來配置防火牆規則，當前的規則是容許一切流量經過，這顯然不是咱們所指望的，所以要對規則加以修改，加入正確的訪問規則，並將缺省策略變動爲阻止：

 

 

 

對於NAT而言，咱們也應該修改，當前的配置過於寬泛，咱們應該進行更準確的限定，原則是，只爲必需的主機配置NAT映射：

 

 

 

接下來，咱們將經過技術手段對內部主機之間的通信進行隔離保護，咱們稱之爲微分段。根據前面的分析，咱們能夠把虛擬機按照功能分紅多個區域，分爲數據庫區，應用區和Web區。之間的訪問規則比較清晰。

 

 

vShield App做爲一款主機防火牆產品，與傳統的防火牆產品最大的不一樣在於，能夠充分利用虛擬基礎架構中的資源來制定訪問規則，以下圖，不一樣類別的虛擬機已經分屬於不一樣的資源池，這給咱們制定規則帶來了很大的便利。

 

 

爲了更方便制定規則，咱們能夠作一些準備工做，例如將相關主機整理成主機組。

 

 

接下來咱們轉到App Firewall設置頁面，添加三條規則，第一條容許WebTier中的主機訪問AppTier中主機的1234端口，第二條容許AppTier中的主機訪問DBTier中主機的3066端口，這兩條規則利用了資源池對象。第三條規則容許本次實驗的輔助服務器訪問相關資源，同時也應用了前面定義的虛擬機組。

 

 

下面咱們來實現第三項任務，對虛擬桌面用戶的行爲加以控制，虛擬桌面用戶數量較大，並且可能不斷變化，所以咱們必須採用基於組的訪問規則來規範用戶的行爲。本例中，咱們將用戶桌面分爲常規桌面和受限桌面，桌面與桌面之間應該是相互隔離的，且不容許常規桌面訪問Tier-1核心應用。咱們經過下圖把訪問規則總結一下：

 

 

接下來，修改vShield App的防火牆規則，以實現上述的訪問控制：

 

 

安全規則配置好之後，咱們鏈接到客戶端，再次進行測試，發現客戶機只能訪問192.168.110.207的80端口了，根據vShield Edge中的配置咱們發現，這個地址實際上由vShield Edge的Load Balancer負責監聽，並將會話重向定到兩臺內部的外部主機。

 

 

結論：咱們能夠結合vShield Edge與vShield App的功能，在企業的虛擬架構中提供全面的訪問控制，能夠有效保證資產安全，而且在安全規則的管理方面具備較大的靈活性，使用很是簡便。

 

[完]