傳統的防火牆是用5元組來定義防火牆規則的,例如下面一組防火牆規則允許對於 Web 伺服器 192.168.1.10 的訪問。

源IP地址

源埠

目標IP位址

目標埠

協議

any

80

192.168.1.10

80

HTTP

any

443

192.168.1.10

443

HTTPS

在實際應用,出於各種種樣的原因往往會更改缺省埠,NSX Data Center (以下簡稱 NSX) 可以獨立於網路埠來識別資料包的應用或協定,也就是 NSX 具有對於網路通訊協定模型中7層應用協定的感識能力。基於對於應用資料流程的可見性,NSX 防火牆也能夠針對應用層資料包進行管理,允許或禁止某些特定類型的應用,無論它是通過哪個埠來傳輸的。NSX 的這種能力稱之為深度資料包檢測 DPI (Deep Package Inspection),利用預先定義好的模式來檢測並識別資料包。

NSX 利用應用感知在資料中心內部的東西向流量中控制應用訪問,而不用在意網路資料流程使用的埠,這可以大大減少針對應用的網路攻擊面。NSX 的應用感知能力有一個列表 (例如 NSX-V 6.4 的應用列表),指明了所支援的應用類型,如 Active Directory、DNS、HTTPS 或 MySQL 等。

 

NSX 的第7層應用和協議感知能力能夠説明管理員更好地控制資料中心內部的應用訪問,減少應用的受攻擊面,提高資料中心的安全性。以下是一些主要的應用場景:

強制通過指定的埠訪問應用:例如 MySQL 的默認訪問埠是 3306,我們可以強要求通過這個埠來訪問 MySQL,而禁止從其他埠訪問,這也包括禁止通過這一埠來訪問其他應用 (例如 FTP) ,這些措施都有助於減少應用的受攻擊面。

禁止易受攻擊的應用協定版本:下例中我們只允許通過 TLS 1.2 協議來訪問應用,而禁止使用低版本的 TLS 協定來訪問,因為低版本的 TLS 安全性不高,含有更多的安全性漏洞。

禁止安全性漏洞較多的應用:下例中我們只允許安全性漏洞較少的應用 (如 LDAP) ,而禁止了 FTP 應用,因為 FTP 協議設計較早,沒有太多考慮安全性,存在的安全問題和漏洞較多,如 FTP 用戶登錄時所使用的使用者帳號和密碼都是通過明文傳輸的。

增強第7層應用的可見性:讓管理員更清楚地知道在資料中心內有哪些應用在運行,例如是否有人在使用即時語音和視頻通話應用, 使用 RTP (Real-Time Transport Protocol) 或 SIP (Session Initiation Protocol) 協議;是否有人在使用 Bittorrent 下載檔案等等。

 

ARM 工具的應用和協議感知能力

ARM (Application Rule Manager) 工具可以自動識別應用之間的通訊模式,並且向管理員推薦防火牆規則。同樣的,從 NSX-V 6.4 開始,ARM 工具也具有了應用和協議感知能力,它的 “Flow Monitoring” 功能能夠準確地識別應用層的資料包,可以讓管理員更加清楚地瞭解第7層應用協定的控制情況,以此來決定根據零信任原則,應該允許或禁止哪些應用的資料流程。除了 內置的7層應用協議之外,ARM 也允許使用者定制新的應用服務,例如 Bittorrent 協定就沒有列在預先定義的應用列表中,如果 ARM 發現了 Bittorrent 流量,管理員可以創建新的防火牆規則來禁止這一類應用。

 

下面給大家看一個展示 ARM 工具應用和協定感知能力的演示視頻。

  1. 啟動一個 ARM 監控 Session 來對財務應用的資料流程進行監控,在財務應用的 Web 用戶端刷新一下頁面來產生資料流程,然後停止監控。
  2. 讓 ARM 來對收集到的資料進行分析,ARM 根據分析的結果推薦了5條防火牆規則。刪除前面2條關於 DNS 和 NTP 的規則 (因為在防火牆中已經有這2條規則了);剩下的3條規則是關於7層協定 TLS 1.2 和 HTTP 的,把這3條規則發佈到分散式防火牆。
  3. 在防火牆裡檢查一下已經發佈的防火牆規則,再刷新一下財務應用的 Web 用戶端,通過檢查 Log Insight 中的日誌來確認新的規則已經生效。

 

另一個演示視頻是關於 NSX 防火牆規則支援應用感知的能力 。演示中的 NSX 防火牆規則要求 TLS 1.2,在 Web 代理伺服器 Nginx 中把 TLS 的版本從 1.2 改為 1.1,結果我們在 Log Insight 和即時監控工具 Flow Monitoring 中都觀察到相關的網路流量被防火牆擋住。在 Web 代理伺服器 Nginx 中把 TLS 的版本改回 1.2 後,我們看到相關的網路資料量不再被防火牆阻擋。

 

擴展閱讀

VMware 和 Intel 攜手網路和安全轉型,共同打造虛擬雲網路 (Virtual Cloud Network),為數位化時代確定網路發展前景。虛擬雲網路基於運行在 Intel 架構上的 NSX 技術而構建, 跨資料中心、雲、邊緣環境和任意硬體基礎架構提供無處不在的基於軟體的網路連接,具有以下特點:

  • 跨雲的網路架構為用戶提供端到端的連接
  • 內置於基礎架構的原生安全性
  • 基於軟體而交付的網路具有最大的靈活性

利用這一平臺,無論應用運行在哪裡 (現場或是雲端),用戶都能夠保證應用架構的安全;並且統一所有分支機搆和邊緣環境的網路連接,以支撐業務運行。