vShield保护虚拟化环境一例

本文以某企业虚拟化平台为例来讲明vShield安全产品在保护企业应用方面的做用。该企业相关应用的拓扑结构以下：

 

 

本次重点关注的是一台数据库服务器，一台应用服务器和两台Web服务器，它们构成了一个典型的三层结构。大多数企业的Web应用平台都是这样构成的。为了检测出当前系统中存在的安全问题，咱们在外网对上述四台计算机进行扫描（这些计算机经NAT映射为192.168.110.x地址），结果以下：

 

1，Web服务器上开放了下述三个端口，其中80端口供用户访问。

 

 

2，在应用服务器上开放了下述端口，其中1234供Web服务器访问。

 

 

3，在数据库服务器上开放了下述端口，其中3306是数据库端口，供应用服务器访问。

 

 

在内部10网段上执行扫描，结果相同。

 

根据扫描结果咱们发现，当前企业环境中存在的主要安全是：

1，网络边界没有安全防御，经过外网能够访问一些不该该开放的端口。

2，企业网络内部主机与主机之间没有安全防御。

3，虚拟桌面用户的资源访问应该受到限制，仅向各虚拟桌面开放须要访问的资源。

 

下面咱们经过部署两种安全防御手段（vShield Edge与vShield App）来解决上述问题。vShield Edge相似于边界安全网关，用于防范来自外界的***行为，主要提供路由，防火墙，地址转换，DHCP，×××和负载平衡功能；vShield App是虚拟网卡级别的防火墙，用于防范来自内部网络的***行为。

 

目标：Web服务器仅对外开放80端口，且不容许从内部向外发起会话，应用服务器的1234端口仅对Web服务器开放，而DB服务器的3306端口仅向应用服务器开放。

 

具体实现方法：

 

1，首先，咱们须要在企业网络与外部网络之间部署一个边界防火墙。以下图，全部的虚拟机都链接在dvPortGroup - Application 1（10网段）上，所以咱们将边界防火墙的内口也接到这一端口组，并将它的外口链接到外部网络（dvPortGroup - External，192网段），这样就把它跨接在内外网之间了。

 

 

接下来咱们来配置防火墙规则，当前的规则是容许一切流量经过，这显然不是咱们所指望的，所以要对规则加以修改，加入正确的访问规则，并将缺省策略变动为阻止：

 

 

 

对于NAT而言，咱们也应该修改，当前的配置过于宽泛，咱们应该进行更准确的限定，原则是，只为必需的主机配置NAT映射：

 

 

 

接下来，咱们将经过技术手段对内部主机之间的通信进行隔离保护，咱们称之为微分段。根据前面的分析，咱们能够把虚拟机按照功能分红多个区域，分为数据库区，应用区和Web区。之间的访问规则比较清晰。

 

 

vShield App做为一款主机防火墙产品，与传统的防火墙产品最大的不一样在于，能够充分利用虚拟基础架构中的资源来制定访问规则，以下图，不一样类别的虚拟机已经分属于不一样的资源池，这给咱们制定规则带来了很大的便利。

 

 

为了更方便制定规则，咱们能够作一些准备工做，例如将相关主机整理成主机组。

 

 

接下来咱们转到App Firewall设置页面，添加三条规则，第一条容许WebTier中的主机访问AppTier中主机的1234端口，第二条容许AppTier中的主机访问DBTier中主机的3066端口，这两条规则利用了资源池对象。第三条规则容许本次实验的辅助服务器访问相关资源，同时也应用了前面定义的虚拟机组。

 

 

下面咱们来实现第三项任务，对虚拟桌面用户的行为加以控制，虚拟桌面用户数量较大，并且可能不断变化，所以咱们必须采用基于组的访问规则来规范用户的行为。本例中，咱们将用户桌面分为常规桌面和受限桌面，桌面与桌面之间应该是相互隔离的，且不容许常规桌面访问Tier-1核心应用。咱们经过下图把访问规则总结一下：

 

 

接下来，修改vShield App的防火墙规则，以实现上述的访问控制：

 

 

安全规则配置好之后，咱们链接到客户端，再次进行测试，发现客户机只能访问192.168.110.207的80端口了，根据vShield Edge中的配置咱们发现，这个地址实际上由vShield Edge的Load Balancer负责监听，并将会话重向定到两台内部的外部主机。

 

 

结论：咱们能够结合vShield Edge与vShield App的功能，在企业的虚拟架构中提供全面的访问控制，能够有效保证资产安全，而且在安全规则的管理方面具备较大的灵活性，使用很是简便。

 

[完]