VMware NSX-T 7层防火墙配置
从VMware NSX-T 2.4开始,VMware引入了NSX功能,可以查明应用程序身份,FQDN和URL白名单,并提供基于身份的防火墙。自2.4版本以来,NSX-T的所有这些功能使该平台的功能和特性达到了新的高度。借助新的第7层应用程序标识,的组织的微细分目标变得更加容易实现,并且实际上可以实现上下文感知的微细分。在本文中,我们将介绍NSX 7层防火墙功能,并更好地概述所提供的功能。
什么是NSX上下文感知防火墙?
VMware能够借助NSX上下文感知防火墙彻底改变防火墙的安全性世界。NSX可以作为虚拟机管理程序内核的一部分并“看到”即将到来的流量,而不是像传统防火墙那样使用IP子网和安全区域的非常静态的结构,而是可以使用它具有可见性的非常丰富的知识。和那里的工作量。
这使得NSX本质上是非常动态的。使用某种类型的网络流量的应用程序ID,可以将其视为指纹。无论的网络中遇到哪种类型的流量,都可以有效地识别该端口并将规则应用于该类型的流量。
有了上下文感知防火墙的想法,NSX现在可以使用基于特定特征,操作系统,应用程序标识等的构造。它也可以与基于身份的防火墙结合使用,该防火墙可以根据成员所属的AD组过滤通讯。
因此,整个上下文概念在过滤流量时非常强大,因为它现在可以基于流量和流的应用程序/用户上下文来进行过滤决策。
NSX 7层防火墙如何配置?
在查看如何配置NSX 7防火墙时,这是通过上下文配置文件来完成的。上下文配置文件是一种标识网络流应用程序的构造。
默认情况下,NSX-T提供了许多默认的上下文配置文件,可以立即使用它们。如所见,这些位于NSX-T管理器UI 的“ 清单”部分下。
还可以将自己的上下文配置文件添加到环境中,以进行自定义流量分析。
查看可与NSX Layer 7防火墙一起使用的上下文配置文件
导航到“ 安全性”选项卡和“分布式防火墙”,我们可以在分布式防火墙规则中看到“ 上下文配置文件”列,可以对其进行编辑以有效地将流量限制在特定应用程序上下文的范围内。
在NSX分布式防火墙中查看上下文配置文件条目
选择编辑分布式防火墙规则的上下文配置文件时,将看到以下对话框弹出窗口,允许选择要添加到防火墙规则的上下文配置文件。
在NSX中编辑分布式防火墙规则的上下文配置文件
因此,正如所看到的,将应用程序ID添加到我们的分布式防火墙规则可以收紧网络流的范围,从而将其限制为特定的应用程序ID或阻止特定的应用程序ID。
基于NSX Identity的防火墙
可以在这里阅读我的文章,以了解有关如何开始使用基于身份的防火墙配置的简要入门。为了大致了解基于身份的防火墙,它允许根据发起流量流的用户的身份来确定网络流量的范围。
在VDI或RDSH领域中,此功能极其强大,可能需要许多不同的人员来验证同一组资源。但是,希望一个组成员能够连接到一组资源,然后希望另一个组成员能够连接到另一组资源。
使用基于身份的防火墙功能可以做到这一点。设置基于身份的防火墙时,将NSX Manager连接到Active Directory基础结构。借助与Active Directory的连接,NSX随后可以有效地将组成员身份应用于分布式防火墙规则。
NSX基于身份的防火墙功能的优点在于,它对最终用户的特定TCP流有效。换句话说,如果有多个人登录到同一RDSH服务器,则可以允许一个用户连接到一个资源,而另一个用户可以连接到不同的资源。
使用旧版防火墙和其他用于安全性的旧版技术(例如802.1x),可以将安全性应用于特定的网络对象或IP地址。这意味着这是一种全有或全无的方法。所有用户要么获得了一定的资源集,要么都对其流量进行了过滤。基于身份的防火墙不是这种情况。
FQDN和URL白名单
URL白名单是另一项NSX第7层防火墙功能,它使可以根据与节点通信的特定FQDN或URL来对流量进行范围划分。能够将流量范围限定到URL或FQDN的功能非常强大。
没有比尝试使用只能在第3层和第4层具有防火墙功能的防火墙范围内的通信范围更令人沮丧的了,在这种情况下,不能使用DNS名称来范围内的流量。当今的大型云提供商和云SaaS应用程序可能具有数百个用于服务云服务的IP。而且,这些IP可能会不断变化。
我不知道是谁,但是能够根据FQDN / URL来划分流量范围比输入200个IP更容易,更高效。
如前所述,URL / FQDN白名单基于上下文配置文件,其中涉及应用程序ID。
总结
所述的VMware NSX 7层防火墙功能提供了丰富的功能,以控制网络流量在系统管理程序的内核层有效地流动。有许多强大的第7层防火墙功能可为流量提供上下文。
这包括应用程序标识,基于身份的防火墙和URL白名单。所有这些功能都提供了用于对环境进行微细分的下一代功能。