传统的防火墙是用5元组来定义防火墙规则的,例如下面一组防火墙规则允许对于 Web 服务器 192.168.1.10 的访问。
|
源IP地址 |
源端口 |
目标IP地址 |
目标端口 |
协议 |
|
any |
80 |
192.168.1.10 |
80 |
HTTP |
|
any |
443 |
192.168.1.10 |
443 |
HTTPS |
在实际应用,出于各种种样的原因往往会更改缺省端口,NSX Data Center (以下简称 NSX) 可以独立于网络端口来识别数据包的应用或协议,也就是 NSX 具有对于网络协议模型中7层应用协议的感识能力。基于对于应用数据流的可见性,NSX 防火墙也能够针对应用层数据包进行管理,允许或禁止某些特定类型的应用,无论它是通过哪个端口来传输的。NSX 的这种能力称之为深度数据包检测 DPI (Deep Package Inspection),利用预先定义好的模式来检测并识别数据包。
NSX 利用应用感知在数据中心内部的东西向流量中控制应用访问,而不用在意网络数据流使用的端口,这可以大大减少针对应用的网络攻击面。NSX 的应用感知能力有一个列表 (例如 NSX-V 6.4 的应用列表),指明了所支持的应用类型,如 Active Directory、DNS、HTTPS 或 MySQL 等。
NSX 的第7层应用和协议感知能力能够帮助管理员更好地控制数据中心内部的应用访问,减少应用的受攻击面,提高数据中心的安全性。以下是一些主要的应用场景:
• 强制通过指定的端口访问应用:例如 MySQL 的默认访问端口是 3306,我们可以强要求通过这个端口来访问 MySQL,而禁止从其他端口访问,这也包括禁止通过这一端口来访问其他应用 (例如 FTP) ,这些措施都有助于减少应用的受攻击面。
• 禁止易受攻击的应用协议版本:下例中我们只允许通过 TLS 1.2 协议来访问应用,而禁止使用低版本的 TLS 协议来访问,因为低版本的 TLS 安全性不高,含有更多的安全漏洞。
• 禁止安全漏洞较多的应用:下例中我们只允许安全漏洞较少的应用 (如 LDAP) ,而禁止了 FTP 应用,因为 FTP 协议设计较早,没有太多考虑安全性,存在的安全问题和漏洞较多,如 FTP 用户登录时所使用的用户帐号和密码都是通过明文传输的。
• 增强第7层应用的可见性:让管理员更清楚地知道在数据中心内有哪些应用在运行,例如是否有人在使用实时语音和视频通话应用, 使用 RTP (Real-Time Transport Protocol) 或 SIP (Session Initiation Protocol) 协议;是否有人在使用 Bittorrent 下载文件等等。
ARM 工具的应用和协议感知能力
ARM (Application Rule Manager) 工具可以自动识别应用之间的通讯模式,并且向管理员推荐防火墙规则。同样的,从 NSX-V 6.4 开始,ARM 工具也具有了应用和协议感知能力,它的 “Flow Monitoring” 功能能够准确地识别应用层的数据包,可以让管理员更加清楚地了解第7层应用协议的控制情况,以此来决定根据零信任原则,应该允许或禁止哪些应用的数据流。除了 内置的7层应用协议之外,ARM 也允许用户定制新的应用服务,例如 Bittorrent 协议就没有列在预先定义的应用列表中,如果 ARM 发现了 Bittorrent 流量,管理员可以创建新的防火墙规则来禁止这一类应用。
下面给大家看一个展示 ARM 工具应用和协议感知能力的演示视频 (提示:请选择视频下方的“高清 720P”选项来观看) 。
- 启动一个 ARM 监控 Session 来对财务应用的数据流进行监控,在财务应用的 Web 客户端刷新一下页面来产生数据流,然后停止监控。
- 让 ARM 来对收集到的数据进行分析,ARM 根据分析的结果推荐了5条防火墙规则。删除前面2条关于 DNS 和 NTP 的规则 (因为在防火墙中已经有这2条规则了);剩下的3条规则是关于7层协议 TLS 1.2 和 HTTP 的,把这3条规则发布到分布式防火墙。
- 在防火墙里检查一下已经发布的防火墙规则,再刷新一下财务应用的 Web 客户端,通过检查 Log Insight 中的日志来确认新的规则已经生效。
另一个演示视频是关于 NSX 防火墙规则支持应用感知的能力 (提示:请选择视频下方的“高清 720P”选项来观看) 。演示中的 NSX 防火墙规则要求 TLS 1.2,在 Web 代理服务器 Nginx 中把 TLS 的版本从 1.2 改为 1.1,结果我们在 Log Insight 和实时监控工具 Flow Monitoring 中都观察到相关的网络流量被防火墙挡住。在 Web 代理服务器 Nginx 中把 TLS 的版本改回 1.2 后,我们看到相关的网络数据量不再被防火墙阻挡。
扩展阅读
VMware 和 Intel 携手网络和安全转型,共同打造虚拟云网络 (Virtual Cloud Network),为数字化时代确定网络发展前景。虚拟云网络基于运行在 Intel 架构上的 NSX 技术而构建, 跨数据中心、云、边缘环境和任意硬件基础架构提供无处不在的基于软件的网络连接,具有以下特点:
- 跨云的网络架构为用户提供端到端的连接
- 内置于基础架构的原生安全性
- 基于软件而交付的网络具有最大的灵活性
利用这一平台,无论应用运行在哪里 (现场或是云端),用户都能够保证应用架构的安全;并且统一所有分支机构和边缘环境的网络连接,以支撑业务运行。
