NSX从入门到精通（8）：NSX 微分段的周边

前两篇介绍了 NSX 微分段的架构以及使用，NSX 微分段可以满足大部分客户对于虚拟机网络访问的控制，在访问控制之外，NSX 也提供了一些增强的安全功能以及分析功能，帮助用户更好地使用 NSX。

01

—

Spoofguard

在任何一个企业中，IT 管理员总是试图做到“可控”，尤其是像 IP 地址这样重要的资源，在物理网络中，管理员可能要求所有终端使用静态IP地址，并在对应的二层交换机上启用地址绑定功能，防止设备私接、防止IP地址篡改，甚至防止 ARP 欺骗攻击。

*ARP 欺骗是局域网中常见的一种恶意攻击，通常可以用来嗅探其他同网段主机的流量，或者导致其他主机无法正常上网。其原理非常简单：发送伪造的 ARP 广播包，使得被攻击主机认为其网关为攻击者，然后将所有流量发送给攻击者。在传统网络内，只能使用交换机的 ARP inspection功能才能避免此攻击。

在数据中心内，这样的需求依然存在。

NSX 自带了一个名为 Spoofguard 的功能，其作用就是实现虚拟化中虚拟机 IP 地址到 MAC 地址/网卡的绑定，并阻止合法的 ARP 包通过，简言之，可以实现防 IP 篡改以及 ARP 欺骗攻击。

下面来做个简单的实验，实验环境中，有两台在同网段的 WindowsXP（请忽略操作系统类型..）测试机，左侧 XP 正常可以访问互联网的 223.5.5.5 ，而如果在另一台攻击者机器上运行“局域网终结者”工具，左侧机器网络会立即出现问题：

返回 NSX 网络与安全配置界面，点击左侧的 Spoofguard，默认功能是被关闭的

点击编辑按钮，勾选 Spoofguard 为已启用。

操作模式有两种：可以选择信任虚拟机用的第一个 IP，或者手工检查所有配置的 IP。

根据需求配置以上选项，点击完成即可。

返回测试机，可以看到左侧虚拟机网络立刻恢复正常，右侧虚拟机的 ARP 欺骗包完全不会影响左侧虚拟机。

在 NSX Spoofguard 界面中，可以看到两个 XP 对应的 MAC 地址以及审批通过的 IP 地址。

接着我们测试手动修改 XP-1 的 IP 地址，观察其网络通信情况：

修改完 IP 地址后，任何访问均失败，包括到其网关的访问。

再回到 NSX 配置界面，在“非活动虚拟网卡”中，能看到 XP-1 的批准 IP 与实际 IP 不符。

此时解决办法只能是将 XP-1 的 IP 地址改回 10.10.50.101，或者管理员将 10.10.50.105 添加为批准 IP。

测试将 IP 地址改回批准的 IP 后，网络立即恢复正常。

Spoofguard 功能就是这样的简单直接，而在有些时候却能避免很大的故障发生。

曾经遇到过一个 CASE，客户的邮件系统故障，最终发现是网络原因，再具体点，是某公司搭建自己的业务系统时，配置的 IP 和邮件系统冲突了。出错只在一刹那，而排查整整花了半天。相信在启用 Spoofguard 之后，这样的问题不会存在。

02

—

Flow Monitoring

NSX 的防火墙很好用，但最终，也是需要安全管理员来根据业务互访关系去创建这些策略；在策略创建完成后，也需要对流量进行可视化的监控，或者将虚拟化的流量发送给更加专业的流量监控分析工具。

NSX 自带了一个小工具流量监控(Flow Monitoring)，可以帮助实现以上需求。

NSX 流量监控集流量收集、展示与分析为一体，具体有以下功能：

流量统计：展示流量的概况，流量排行榜，流量放行/阻止情况

按服务(端口)展示流量的明细，并提供了快捷的防火墙规则创建按钮。

虚拟机接口实时流量监控

通过 IPFix (Netflow v9)协议将流量统计信息发送给第三方收集器

应用程序规则管理器：收集与业务组相关的流量，帮助管理员根据业务互访关系创建防火墙策略

下面来演示一下应用程序规则管理器如何使用：

打开应用程序规则管理器，点击启用新会话

设置会话名称，并将要收集流量的虚拟机加入该组

点击确定自动开始收集流量

待收集完成后(收集时间越长数据越准确)，点击“停止”

点击“分析”，流量会由 IP 五元组变为 NSX 可以识别的对象，例如XX虚拟机、XX服务

选中分析后的流量，点击“创建防火墙规则”

如果觉得以上规则不完全贴切环境，可以稍作修改。例如将源改为空（即代表任意），禁止 Ping 操作。

点击确定后，防火墙规则会被自动创建，但尚未发布

点击“发布”，会要求选择防火墙区域的存放位置，我们选择放在最顶端，点击确定

*防火墙区域的介绍请参见“NSX从入门到精通(6)：NSX 微分段架构、组件及实践 Part1”

打开 NSX 防火墙配置界面，可以看到已经通过应用程序规则管理器创建了防火墙规则。

03

—

vRealize Network Insight

之 Plan Security

在第二部分，介绍了 NSX 自带的流量分析工具 Flow Monitoring，在简单监控排错时功能足够，而在稍大规模环境下使用则有些吃力，尤其是在长时间流量收集上。

因此 VMware 提供了一款更专业的流量收集、分析、排错工具vRealize Network Insight，简称 vRNI，属于 NSX 家族的一员。

概括来说 vRNI 有三大功能，在和 NSX 防火墙搭配使用时，只需要使用第一个功能：Plan Security

Plan Security 的功能和 Application Rule Manager 类似，不同的是 Plan Security 会收集所有虚拟化的流量信息，然后再过滤出需要使用的信息。

点击 Plan Security，选择展示过去1天的流量信息

左侧会按照“VLAN/网段/集群/文件夹/虚拟机/安全组”等多个属性展现流量关系。

右侧是一些汇总的统计信息

如果点击任意的扇形块，可以展示出与这个块相关的流量信息

系统会自动根据历史收集到的流信息，推荐一组防火墙规则，管理员则可以依靠这个去 NSX 防火墙中设置规则。

vRNI 的其他功能，未来会有专门的篇章介绍

回顾一下，本文着重介绍了 NSX 微分段相关的三个功能：

Spoofguard：地址防篡改、防 ARP 欺骗攻击

Flow Monitoring：简单的流量收集、监控，规划微分段安全策略

vRNI - Plan Security：更加专业的流量统计、分析、规划微分段安全策略

文章最后，附上几个演示视频（原视频均可在“

NSX 相关的资料，全部放在了这里

”中找到）：

1、Spoofguard 演示

2、NSX TraceFlow 及 Flow Monitoring 演示