在NSX上集成第三方高级安全服务
9页1、在NSX上集成第三方高级安全服务一、为什么要集成第三方服务?(1)利用现有网络资源,延续用户使用习惯。企业的网络环境中经常会存在不同的安全交付厂商的设备或服务,并且已经有了使用习惯和良好的体验。这时候VMware NSX就需要能够很好的去集成第三方服务,以便于充分利用现有网络资源且延续用户使用习惯。(2)借助第三方高级安全服务,加强数据中心安全。NSX网络虚拟化平台在虚拟网络之中只提供了二到四层的防火墙功能。但是在一些环境中,应用需要更高级别的网络安全策略来保护。在这种情况下,用户可以利用NSX平台,在其上集成第三方安全厂商的五到七层安全服务,提供更全面更充分的基于应用的解决方案。二、 NetX架构要使用第三方的服务,需要想办法将网络流量重定向给这些服务,同时又要尽量不影响网络性能。作为一个hypervisor-integrated软件平台,NSX充分利用了hypervisor的集成能力,直接在hypervisor上集成第三方的安全服务。NSX采用NetX(Network Extensibility)框架,通过一个或多个服务虚拟机(SVM)来指定特定流量的重定向。这些SVM不通过典型的
2、网络堆栈接收网络流量,他们直接通过虚拟机hypersivor的消息传递通道进行消息传递。可以在NSX Service Composer中以策略驱动的方式定义哪些流量被重定向到第三方服务。用户使用NSX Manager创建服务配置文件,NSX Manager会将服务实例、服务配置文件和服务配置文件规则发送给VSFWD(RabbitMQ客户端,与NSX Manager通信)。VSFWD进程将配置VSIP内核模块。具体如下图所示:图1 NetX架构三、与第三方集成的方案NSX将第三方网络安全服务集成在虚拟网络中,通过逻辑的通道发布至vNIC接口(具体见NetX架构图示),使得在vNIC后端的应用可以使用这些服务。这种形式的服务集成称为“嵌入、链接与导向”。参考图2,在Guest虚拟机和逻辑网络(逻辑交换机和分布式端口组)之间,会有一项服务部署在vNIC层面,这就是服务的嵌入。Slot-ID体现了服务于相关虚拟机的连接slot2与分布式防火墙关联,而slot4与Palo Alto公司的虚拟防火墙关联了起来,其它的slot可以集成跟多的第三方服务。这就是服务的链接流量在退出虚拟机的时候需要遵循s
3、lot ID的序号,如下图流量先被重定向到slot 2,然后是slot 4。进入虚拟机时则相反。图2 嵌入、链接、导向这种集成方案的优势以服务链的方式提供不同服务组合。随着基础设施服务从物理设备过渡到软件功能,可以通过将这些服务直接插入到特定的转发路径中,以更大的粒度部署这些服务。以这种方式组合多个功能被称为服务链或服务图。这些服务可以在基础设施中的任意两个端点之间被创建,配置,插入和动态删除。图3 服务链四、与Palo Alto集成案例当前在NSX网络虚拟化平台中已经集成了一些第三方的服务,如:Palo Alto、趋势科技、McAfee等。图4 集成第三方服务模型下文将以NSX上集成Palo Alto公司的VM系列下一代虚拟防火墙服务为例,详细阐述在NSX上集成第三方高级安全网络服务的具体方案。4.1 Palo Alto NGFW解决方案Palo Alto公司的下一代防火墙让企业实现安全的同时,能够防范已知和未知威胁。Palo Alto企业安全平台使用积极的安全控制模型,这个模型的特点如下:(1) 基于应用层特征而不是端口识别。(2) 减少威胁痕迹以阻止已知的威胁并防范未知威胁。(3
4、) 文件可见性得以扩展(可查看常用文件类型而不论其是否加密)。(4) 零天攻击检测(能快速识别应用并对威胁作出反应)。(5) 发现恶意域名。(6) 事件响应数据的单一界面视图。4.2 NSX与Palo Alto NGFW集成解决方案Palo Alto的NGFW分为两种防火墙,分别为物理硬件防火墙和可以集成虚拟化Hypervisor的防火墙。用来与NSX集成的是虚拟防火墙。Palo Alto提供了一些核心组件,包括:VM系列防火墙、动态地址组、Panorama管理软件。VM系列防火墙:VM系列防火墙是用于虚拟化环境的Palo Alto NGFW。它使用了与Palo Alto硬件版相同的PAN-OS软件,Palo Alto安全平台使用应用识别技术来实现诸多应用层安全,如拦截恶意网站,防范漏洞扫描等。动态虚拟地址组:在虚拟化和云计算环境中,虚拟机经常在服务器之间漂移,因此不在该基于动态IP地址和端口来定义策略。Palo Alto可通过动态地址组特性,使用虚拟机打标签作为其身份的方法来创建策略。Panorama管理软件:Palo Alto集中化安全管理软件,可以管理所有物理和虚拟安全设备(前提
《在NSX上集成第三方高级安全服务》由会员添***分享,可在线阅读,更多相关《在NSX上集成第三方高级安全服务》请在金锄头文库上搜索。
房地产培训 -房地产策划流程常识介绍1
房地产市场报告-2021年重庆中心城区国庆市场总结
房地产市场报告 -2021年重庆商办公寓市场报告(8月)
房地产施工管理 -CL保温施工甲方经验总结
房地产活动策划 - 2021重阳节系列暖场“不负美意”活动策划方案
房地产培训-碧桂园【江中区域】拓客技巧
房地产市场报告 - 2021年08月天津二手房市场监测报告
房地产市场报告 - 2021年第三季度北京房地产市场监测报告-新房市场
“5G+工业互联网”典型应用场景和重点行业实践 (第二批)
房地产培训 - 豪宅价值标准以及客户分析
房地产活动策划 - 国际城邻里中心开业盛典(盛世国潮·荣耀开放)活动策划方案
房地产活动策划 -大嘉汇康养主题酒店试营业开业活动提报方案
房地产活动策划 -吾悦广场双十一AI+未来游乐园活动策划方案
房地产活动策划-2020购物中心圣诞季营销“重大圣诞节”活动策划方案
房地产活动策划 -商业广场圣诞新年欢乐趴“鬼马双旦玩FUN下”活动策划方案
房地产活动策划 -2020戴德粱行新春拉斯维加斯之夜活动策划方案
房地产活动策划 -2021地产项目金秋游园会暖场蓄客“元气生活节”活动策划方案
2021投融资策略与方法:企业资金困局破解之法
5G整体情况介绍
房地产活动策划 -商业广场元旦跨年盛典(中国范国潮风主题)活动策划方案
2022-04-02 14页
2022-03-31 48页
2021-08-07 14页
2021-08-07 35页
2021-08-07 11页
2021-08-07 5页
2021-08-07 9页
2021-08-07 5页
2021-08-07 11页
2021-08-07 10页