**各位趕路的朋友們,天色已晚,前面方圓五十里沒有其他的客棧了,夜間出行實在不妥,此地多有土匪橫行,還是請各位店內歇息,明日再行趕路,樂意來客棧歡迎您!!!**
前序:前面的內容中介紹了防火牆的兩種類型:硬件防火牆和軟件防火牆。但是並沒有詳細介紹,只是開了一個頭而已,所以今天繼續,給大家挖一挖這個防火牆。
一、NSX防火牆簡述
NSX的安全解決方案是以軟件的方式提供和部署2到4層的安全防護,在NSX虛擬化平臺中提供了兩種防火牆功能:一個是由NSX Edge提供的提供的集中化的虛擬防火牆服務,它主要用來處理南北向的流量;另一種就是基於爲分段技術的分佈式防火牆,主要用來處理東西向流量。一般將NSX分佈式防火牆稱爲DFW.
在上面的圖中,可以看到同時使用了NSX Edge防火牆和分佈式防火牆的邏輯拓撲。NSX的分佈式防火牆通過水平擴展部署Hypervisor的方式來擴充東西向防火牆的處理容量,提供更加精細顆粒度的訪問,它提供了更好的自動化部署方式,整個數據中心只需集中化統一管理一個分佈式防火牆。
二、NSX防火牆的存在意義
爲什莫會有NSX防火牆,想必各位心中已經有了自己的答案,但是還要簡單提及一下。衆所周知,安全攻擊會給企業帶來想像不到的打擊,但是爲什莫在做了無數的防護之後,仍舊無法完全的防止黑客的攻擊呢?這是因爲當前數據中心的安全防護主要依賴於邊界物理防火牆,但是在服務器的內部卻是沒有了防護功能,就是因爲沒有內部的橫向控制。舉一個簡單的例子:一位富豪在房子周圍佈置了無數警衛人員,唯獨屋子裏面沒有任何防護,假設有一名刺客,如果無法突破外圍的保護進入房子,那麼富豪是安全的,但是如果外面的人都被他殺光了或是被他躲過去了,那麼進入房子後還有誰能阻止他的刺殺?說到此,大家應該明白了吧,傳統的邊界物理防火牆相比於佈置有NSX防火牆的數據中心來說就是外強中乾!!!小二,給二樓客人上一盤熟牛肉
大家知道,一名黑客要想獲得數據,就要通過Internet 訪問到Web服務器,繼而攻破App服務器等一系列節點,最後才能訪問到數據庫服務器。要注意到的是從Web服務器到App服務器再到數據庫服務器都是數據中心內的東西向流量,這時候數據中心邊界的物理防火牆則是沒有了防護意義。由此可見光靠部署邊界安全的策略已經被證實了不夠完善。可能有人會想到爲什莫不在數據中心內部部署一臺或者多臺物理防火牆呢,對於一個小型的數據中心這倒不失爲一個好方法,但是如果數據中心中的虛擬機時成百上千臺呢,你總不能也要部署成百上千臺物理防火牆吧,所以這種方法理論上可行,但是由於投資高,運維複雜,操作上也無法實現完全信任使得其在實踐中是無法實現的。
三、NSX防火牆的優勢
接下來說一說NSX防火牆的原理吧。之所以大力提倡NSX防火牆,我認爲除了能實現程序化快速部署安全策略、完全自動化(安全策略隨着虛擬機遷移而遷移)等優點外,我最認可最看重的一個優點就是NSX防火牆可以將防火牆策略的顆粒度大大降低,實現微分段和分佈式的架構。好嘞牛肉來了,客官您慢用
什麼又是微分段呢???微分段是針對以往的防火牆策略顆粒度太粗而提出的。以往的虛擬防火牆技術一般是安裝在某臺主機上的一臺虛擬機上,這就意味着每臺主機的所有的下屬的虛擬機都將會共用一臺虛擬機的防火牆。而用了基於微分段的分佈式防火牆技術後,就可以在每一臺虛擬機上裝一臺防火牆,並與虛擬機的每塊vNIC進行策略關聯,使得每臺虛擬機的流量在出棧和入棧時都可以得到安全防護,執行就近的允許、拒絕和阻斷策略。
這種防火牆的策略是獨立於網絡拓撲的,這句話有些含蓄,我換個方式:無論企業的邏輯網絡是基於VLAN還是VXLAN,都能有作用,因爲每臺虛擬機上都部署了一臺屬於自己的防火牆,所以虛擬機的流量在流出虛擬機時就受到了安全策略的保護限制,也就是說VXLAN的流量在被Hypervisor的VTEP封裝之前就已經執行了防火牆策略。除此之外,因爲微分段技術將防火牆的顆粒度精細到了每臺虛擬機,而且防火牆的策略也是與虛擬機綁定,這也就意味防火牆無需關心IP地址,可以實現隨虛擬機的遷移而遷移,聽了這些,是不是感覺NSX防火牆策略很牛X。
四、總結
上面的內容簡單的介紹了NSX防火牆以及NSX防火牆的原理、意義,明日將會詳細介紹NSX分佈式防火牆如何實現微分段,欲知後事如何,請聽下回分解!!!
各位客官早些休息,莫要耽誤了明早的趕路,小二啊,上閘板,打烊