作者: Colin Jao 饒康立 – VMware資深技術顧問,主要負責VMware NSX產品線,目前致力於網路虛擬化、分散式安全防護技術與新應用遞送方案的介紹與推廣

VMware NSX由4.X版開始提供了一個安全新功能:惡意IP地址阻擋 (Malicious IP Filtering)。NSX能夠定期自動更新Internet上的惡意 地址清單,並且直接於分散式防火牆進行需求的防禦。由於這些惡意地址清單是由VMware安全專家透過Internet安全資訊及開放名譽資料庫進行整理與即時更新,因此能協助企業就來自Internet的威脅,或內部已被感染機器要往外部駭客進行連線等行為,進行快速且自動的保護。如果大家已經有在使用微分段防火牆,這應該是個很有吸引力的新功能吧!這裡我想用簡單的兩篇網誌來進行相關介紹。

下篇網誌內我會說明要使用這個新功能的前提要件,而於本篇網誌則先和大家簡述相關的功能與介面。當我們安裝或升級VMware NSX到4.X版,並配置適合的授權後,可以在Security – Distributed Firewall – ACTIONS – General Settings – Malicious IP Feeds看到下列畫面:

如果是全新安裝的NSX 4.X版,預設就會將Auto Update Malicious IPs選項打開。但若是由3.X版升級上來,則這裡的配置是關閉,要手動啟用。當Auto Update Malicious IPs選項打開後,NSX Manager會自動每12小時由雲端更新最新的Internet惡意地址列表,管理者也可以由下方的Download Latest Feed按鈕來手動更新。

下載後的Internet惡意地址會放置在下列這個DefaultMaliciousIpGroup群組:

這是一個特別為此功能設計,僅存放惡意IP地址的群組。原本在NSX限制內,一個純IP地址群組僅能放置4,000個IP地址或網段,這對要存放所有Internet惡意地址是遠遠不夠的。DefaultMaliciousIpGroup群組特別為此需求進行修改,可存放大量IP地址,而此群組當然也可以使用於分散式防火牆規則。 在Security – Distributed Firewall – Category Specific Rules – INFRASTRUCTURE工作表內,大家會看到有自動預設設定的兩條規則如下,任何由這個Internet惡意地址群組來、或是要連往這些惡意地址的連線,預設都是Drop。

如同標準的防火牆操作,上述兩條規則大家也可以依據自己需求進行修正,比如說將Action由Drop改為Reject,要不要進行日誌記錄等。為了展示方便,我將上述規則改為Reject,再從一台內部的虛機CRM-Web-01來ping / ssh不同的Internet IP地址:

可以看到這台CRM-Web-01虛機能夠正常的ping到168.95.1.1 / 8.8.8.8這些好的地址,但對於63.183.141.17 / 68.183.140.223等這些惡意地址,則直接在防火牆被Reject。

我們可以在兩個介面看到有哪些惡意地址被連線,以及相關的虛機。首先是在Security – Security Overview – Threat Event Monitoring – Malicious IPs。下圖內,大家可以看到有被阻止的惡意IP地址 (前面所測試的63.183.141.17 / 68.183.140.223),還有受影響的虛機 (CRM-Web-01)。同時也描述這些地址被阻擋的原因 (Phishing釣魚網站)。

另外在Security – Threat Event Monitoring – Filtering and Analysis – Malicious IPs內也可以看到更完整的連線資訊:

在這頁內的一個重點是除了可以看到相關惡意IP連線資訊以及對應的虛機,另可以將相關的連線選擇起來,並且以”ADD AS EXCEPTION”按鈕特別建立例外群組。比如說如果為了特別的安全測試需求,要允許機器可以連線到外部的某些惡意IP地址,但不想在防火牆規則把所有惡意地址都開放。此時就可以在這邊建立例外清單。

本篇網誌內我們說明並簡單展示了NSX 4.X內的新功能:Malicious IP Filtering,相信大家看了應該也可感受到這邊在資料中心對應Internet防護上的進一步強化。在下一篇網誌我們則要討論,如果要使用這個惡意地址阻擋功能,相關在版本、架構與授權上的需求是什麼。