NSX从入门到精通(8):NSX 微分段的周边

前两篇介绍了 NSX 微分段的架构以及使用,NSX 微分段可以满足大部分客户对于虚拟机网络访问的控制,在访问控制之外,NSX 也提供了一些增强的安全功能以及分析功能,帮助用户更好地使用 NSX

01

Spoofguard

在任何一个企业中,IT 管理员总是试图做到“可控”,尤其是像 IP 地址这样重要的资源,在物理网络中,管理员可能要求所有终端使用静态IP地址,并在对应的二层交换机上启用地址绑定功能,防止设备私接、防止IP地址篡改,甚至防止 ARP 欺骗攻击。

*ARP 欺骗是局域网中常见的一种恶意攻击,通常可以用来嗅探其他同网段主机的流量,或者导致其他主机无法正常上网。其原理非常简单:发送伪造的 ARP 广播包,使得被攻击主机认为其网关为攻击者,然后将所有流量发送给攻击者。在传统网络内,只能使用交换机的 ARP inspection功能才能避免此攻击。

在数据中心内,这样的需求依然存在

NSX 自带了一个名为 Spoofguard 的功能,其作用就是实现虚拟化中虚拟机 IP 地址到 MAC 地址/网卡的绑定,并阻止合法的 ARP 包通过,简言之,可以实现防 IP 篡改以及 ARP 欺骗攻击

下面来做个简单的实验,实验环境中,有两台在同网段的 WindowsXP(请忽略操作系统类型..)测试机,左侧 XP 正常可以访问互联网的 223.5.5.5 ,而如果在另一台攻击者机器上运行“局域网终结者”工具,左侧机器网络会立即出现问题:

返回 NSX 网络与安全配置界面,点击左侧的 Spoofguard,默认功能是被关闭的

点击编辑按钮,勾选 Spoofguard 为已启用。

操作模式有两种:可以选择信任虚拟机用的第一个 IP,或者手工检查所有配置的 IP。

根据需求配置以上选项,点击完成即可。

返回测试机,可以看到左侧虚拟机网络立刻恢复正常,右侧虚拟机的 ARP 欺骗包完全不会影响左侧虚拟机

在 NSX Spoofguard 界面中,可以看到两个 XP 对应的 MAC 地址以及审批通过的 IP 地址。

接着我们测试手动修改 XP-1 的 IP 地址,观察其网络通信情况:

修改完 IP 地址后,任何访问均失败,包括到其网关的访问

再回到 NSX 配置界面,在“非活动虚拟网卡”中,能看到 XP-1 的批准 IP 与实际 IP 不符。

此时解决办法只能是将 XP-1 的 IP 地址改回 10.10.50.101,或者管理员将 10.10.50.105 添加为批准 IP。

测试将 IP 地址改回批准的 IP 后,网络立即恢复正常。

Spoofguard 功能就是这样的简单直接,而在有些时候却能避免很大的故障发生。

曾经遇到过一个 CASE,客户的邮件系统故障,最终发现是网络原因,再具体点,是某公司搭建自己的业务系统时,配置的 IP 和邮件系统冲突了。出错只在一刹那,而排查整整花了半天。相信在启用 Spoofguard 之后,这样的问题不会存在。

02

Flow Monitoring

NSX 的防火墙很好用,但最终,也是需要安全管理员来根据业务互访关系去创建这些策略;在策略创建完成后,也需要对流量进行可视化的监控,或者将虚拟化的流量发送给更加专业的流量监控分析工具。

NSX 自带了一个小工具流量监控(Flow Monitoring),可以帮助实现以上需求

NSX 流量监控集流量收集、展示与分析为一体,具体有以下功能:

流量统计:展示流量的概况,流量排行榜,流量放行/阻止情况

按服务(端口)展示流量的明细,并提供了快捷的防火墙规则创建按钮。

虚拟机接口实时流量监控

通过 IPFix (Netflow v9)协议将流量统计信息发送给第三方收集器

应用程序规则管理器:收集与业务组相关的流量,帮助管理员根据业务互访关系创建防火墙策略

下面来演示一下应用程序规则管理器如何使用:

打开应用程序规则管理器,点击启用新会话

设置会话名称,并将要收集流量的虚拟机加入该组

点击确定自动开始收集流量

待收集完成后(收集时间越长数据越准确),点击“停止”

点击“分析”,流量会由 IP 五元组变为 NSX 可以识别的对象,例如XX虚拟机、XX服务

选中分析后的流量,点击“创建防火墙规则”

如果觉得以上规则不完全贴切环境,可以稍作修改。例如将源改为空(即代表任意),禁止 Ping 操作。

点击确定后,防火墙规则会被自动创建,但尚未发布

点击“发布”,会要求选择防火墙区域的存放位置,我们选择放在最顶端,点击确定

*防火墙区域的介绍请参见“NSX从入门到精通(6):NSX 微分段架构、组件及实践 Part1”

打开 NSX 防火墙配置界面,可以看到已经通过应用程序规则管理器创建了防火墙规则。

03

vRealize Network Insight

之 Plan Security

在第二部分,介绍了 NSX 自带的流量分析工具 Flow Monitoring,在简单监控排错时功能足够,而在稍大规模环境下使用则有些吃力,尤其是在长时间流量收集上。

因此 VMware 提供了一款更专业的流量收集、分析、排错工具vRealize Network Insight,简称 vRNI,属于 NSX 家族的一员。

概括来说 vRNI 有三大功能,在和 NSX 防火墙搭配使用时,只需要使用第一个功能:Plan Security

Plan Security 的功能和 Application Rule Manager 类似,不同的是 Plan Security 会收集所有虚拟化的流量信息,然后再过滤出需要使用的信息。

点击 Plan Security,选择展示过去1天的流量信息

左侧会按照“VLAN/网段/集群/文件夹/虚拟机/安全组”等多个属性展现流量关系。

右侧是一些汇总的统计信息

如果点击任意的扇形块,可以展示出与这个块相关的流量信息

系统会自动根据历史收集到的流信息,推荐一组防火墙规则,管理员则可以依靠这个去 NSX 防火墙中设置规则。

vRNI 的其他功能,未来会有专门的篇章介绍

回顾一下,本文着重介绍了 NSX 微分段相关的三个功能:

Spoofguard:地址防篡改、防 ARP 欺骗攻击

Flow Monitoring:简单的流量收集、监控,规划微分段安全策略

vRNI - Plan Security:更加专业的流量统计、分析、规划微分段安全策略

文章最后,附上几个演示视频(原视频均可在“

NSX 相关的资料,全部放在了这里

”中找到):

1、Spoofguard 演示

2、NSX TraceFlow 及 Flow Monitoring 演示

  • 发表于:
  • 原文链接https://kuaibao.qq.com/s/20180531G1GV2300?refer=cp_1026
  • 腾讯「云+社区」是腾讯内容开放平台帐号(企鹅号)传播渠道之一,根据《腾讯内容开放平台服务协议》转载发布内容。
  • 如有侵权,请联系 yunjia_community@tencent.com 删除。

扫码关注云+社区

领取腾讯云代金券