作者: Colin Jao 饒康立 – VMware資深技術顧問,主要負責VMware NSX產品線,目前致力於網路虛擬化、分散式安全防護技術與SD-WAN方案的介紹與推廣。

作者: Colin Jao 饒康立 – VMware資深技術顧問,主要負責VMware NSX產品線,目前致力於網路虛擬化、分散式安全防護技術與SD-WAN方案的介紹與推廣。

 

 

下圖內是在NSX-T的常見邏輯拓墣內,Edge Firewall與 Distributed Firewall 的佈放位置

 

 

本篇內我們先就Edge Firewall這邊做簡單的討論。如同前面幾篇對於NAT / Load Balancer的說明,南北向防火牆同樣地也主要是Stateful服務,需要在NSX-T Logical Router上面進行運作。幾個重點:

NSX-T Edge Firewall的配置地點為何?

與NAT功能一樣,Edge Firewall可以在Tier-0 Router或是Tier-1 Router上配置。也就是說實際上,南北向封包檢查的功能是在Edge Node內對應到這些邏輯路由器的SR構件上執行。

當我們在配置某一台邏輯路由器的Edge Firewall時,大家需要注意的是,與NAT一樣,Edge Firewall的規則僅會運作在Tier-0路由器的Uplink,或是Tier-1路由器往T0路由器的Linked Port,如下圖所示:

 

 

這代表的是:

  • 如果管理者想要配置所有NSX-T邏輯網路與實體網路間的安全防護規則,應該要配置在Tier-0路由器上。
  • 如果管理者想要配置單一應用、單一租戶的南北向防護規則,或是在不同應用、不同租戶間的防護規則,應該要配置在Tier-1路由器上。兩個T1 Router下的租戶在互相溝通時,封包雖然會通過Tier-0 Router,但不會到T0的Uplink上,這代表T0 Router的Edge Firewall Rule對於這類的T1租戶間傳輸是不會生效的
  • 同樣的,那如果我們想要做的是在同一台Tier-1 Router內部,虛機對虛機或是容器間的安全防護呢?即使在不同的網段,這些同一台T1下不同的邏輯交換器間的路由交換是不會走到T1的Linked Port的,所以T1 Edge Firewall上的規則不會生效
  • 那同一台T1後的虛機與容器間的安全防護就無法做了嗎?當然不是。這邊就是NSX最獨特的功能:由Distributed Firewall所做的微分段功能所達成了

NSX-T Edge Firewall的配置方式為何?

在Edge Firewall配置時,管理者需要會到每台Tier-0或是Tier-1路由器的管理介面內去進行防火牆功能的配置。在NSX-T外部工作介面內直接選定的Firewall是東西向的Distributed Firewall。

 

 

Edge Firewall的規則配置介面內很直接,和之前在NSX for vSphere內或是與Distributed Firewall的配置相差不多。其中

  • # 代表此規則的先後順序號碼,越前面越先比對到
  • Name是此規則的可供管理者識別名稱。ID則是此規則的獨一無二可識別號碼,無論規則的產出或是被刪除掉,都不會重複
  • Sources / Destinations顧名思義,就是此防火牆規則的來源與目的地。在NSX-T內,可以接受的來源與目的地包括了IPv4 / IPv6的地址 / 網段 / 地址集合。此外,管理者可以指定一整個邏輯交換器、特定的Logical Port (虛機或容器的網卡)、或是NSGroup(後面網誌會解釋,就是安全群組)
  • Services就是指定的協定與Port服務。目前NSX-T 2.3版本內仍為L4防火牆,後續版本內我們會支援七層的Context-Aware Firewall
  • Action: 符合規則的網路流,是要允許通過 (Accept)、阻擋 (Drop)、或是在有第三方安全方案支援時,是不是要轉送 (Redirect)
  • Applied To: 如果在Tier-0路由器上的Edge Firewall,且有兩個以上的Uplink,管理者可指定要把這個規則僅配置在哪個Uplink上
  • Log: 此規則有網路流符合時,是否要往Log Server遞送紀錄
  • Stats: 符合此規則的網路流統計值

此外在Edge Firewall內有兩點提醒大家一下,首先是自2.3版之後,在Edge Firewall內也可以針對不同用途的規則、獨立應用或是用戶各次建立獨立的Sections,讓規則的編排與可讀性更佳。

其次是Edge Firewall可以配置為Stateful或是Stateless。

  • Stateful Firewall:代表這個Edge Firewall具備connection table以及連線監控等防火墻需求的完整功能。但也因為Stateful的特性,Stateful防火牆可以在Tier-1路由器(僅能Active-Standby),或是在配置為Active-Standby的Tier-0路由器上設定。在Active-Active形態的T0路由器上不能運作Stateful Firewall
  • Stateless Firewall:同上,在Active-Active (ECMP) 形態的T0路由器上僅能運作Stateless Firewall,但說真的,這不是防火牆,其實就只是Access-Control-List罷了。但當用戶又需要ECMP大頻寬的T0路由器,又希望在實體與邏輯網路間有基礎的安全阻隔,使用Stateless Firewall是一個選項。

所以NSX-T內的Edge Firewall服務與NSX for vSphere內的有何差別?

兩個重點:

  • 如同NAT與Load Balancer,Edge Firewall的HA切換速度可以達到秒級,因此即使NSX-T內的Edge構件出現硬體失效等狀況,重要業務系統的防火牆服務不會受到中斷。
  • NSX-T內的一個重要新功能是Edge Firewall的第三方方案整合,也就是說南北向進出邏輯網路的網路流,現在通過Edge Firewall時,可以把Traffic轉送給整合的第三方安全方案,也就是說丟給其他功能強大的實體L7防火牆 / IPS來檢查。目前我們不和大家多談這個功能,但已經有廠商可以支援此方案,後續支援廠商更多時,再和大家做架構的近一步討論

這篇主要在和大家討論T0 / T1 Router上的Edge Firewall,下一篇我們要進入東西向微分段的主角:Distributed Firewall。