作者: Colin Jao 饒康立 – VMware資深技術顧問,主要負責VMware NSX產品線,目前致力於網路虛擬化、分散式安全防護技術與新應用遞送方案的介紹與推廣。

使用分散式防火牆 (Distributed Firewall) 提供重要虛機安全保護,俗稱微分段機制 (Micro-Segmentation),是 VMware NSX 銷售十年來,最廣為客戶熟知與實際運用在生產環境的方案情境。不談其他國家,光台灣就有數百名在各個不同產業的中大型客戶,運用微分段機制來進行重要業務安全保護。藉由部署NSX分散式防火牆,企業將能

  • 保護每一台虛機,每個網路封包都能夠得到檢查。
  • 無需異動網路架構即可部署,對現有業務環境無影響。
  • 無須安裝 Agent,只要是 vSphere 上運作的虛機即可進行保護。
  • 集中單一介面統合進行配置,無需管理多台獨立的小防火牆。
  • 整合 vCenter / vSphere 取得完整虛機資訊,除 IP 地址外可直接採用虛機作為來源或目的地物件。
  • 透過 Group / Tag 建立虛機與實際業務關聯,在業務擴充或遷移時無需異動防火牆規則,達成安全自動化。

這些已經做過上千遍的產品行銷介紹就先到此為止。如果大家有興趣,每一名 VMware 的業務代表或技術顧問,以及我們的經銷商夥伴,都可以與各位做相關的說明、展示與後續研討。NSX分散式防火牆功能可以說是除了vCenter/vSphere、Aria Operations (vRops) 之外最為客戶廣為大量採用的VMware產品,方案穩定且廣為部署,請大家放心運用。什麼你還沒聽過?快找離你最近的VMware客戶顧問或經銷商專家進行了解吧!

因此本系列網誌的重點完全不在方案介紹與行銷。在多年與客戶以及經銷夥伴對微分段功能進行說明、介面展示、Sizing、架構規劃、方案驗證、教育訓練、安裝步驟與資源需求確認、規則配置機制研討、Phase II / 跨站點擴充討論等過程中,我們當然回應過眾多的分散式防火牆相關問題。這裡我希望就這些經常被詢問,眾多用戶關心的微分段常見疑問統一整理進行答覆說明,同時也對一些新版本內功能,但在此 Blog 內尚未介紹過的,與大家進行進一步的討論。系列文內會採用Q&A的方式,依據下列不同議題分篇進行討論:

  • 配置微分段功能在 Sizing 、資源需求、及安裝上的議題。
  • 在雙中心或災備場景內的分散式防火牆相關議題。
  • 分散式防火牆規則配置及維運相關討論。
  • 其他關於環境架構、授權、相關方案整合的議題。

系列文開始前,兩個重點與大家強調一下。首先,本系列網誌僅著重在最普遍的『純虛機標準微分段』場景。也就是說,

  • 主要僅討論『虛機』的微分段,容器 Kubernetes 環境的場景不在討論範圍內。
  • 我們僅著重在最基本的虛機運作於VLAN實體網路場景。分散式防火牆當然可以、也建議運作在NSX Overlay Segment上,但未必所有客戶都有使用NSX的網路功能。因此Overlay環境的配置、Edge的部署與注意點等等不會在討論範圍內。
  • 我們僅著重在分散式防火牆的基礎功能。進階安全機制如 IDPS / Malware Prevention也並非本文重點。

其次,本系列文訴求的讀者是已經理解、並且實際運用過微分段功能的NSX管理者或維運專家。如果各位對這個方案還不是很熟悉,下面是一些免費的資源讓大家能夠快速了解這個眾多客戶在虛擬化環境都有使用的功能:

  • 在 VMware Hands on Lab實際操作 NSX 分散式防火牆:推薦使用HOL-2226-92-SEC – NSX Distributed Firewall Lightning。這個Lab,可以在很短的一小時內實機運作包括NSX Firewall 運作介面、日誌、群組設定、Troubleshooting工具等功能,並且包含完整的Step-by-Step文件引導。大家僅需要在VMware網站註冊帳號,然後找VMware Hands-on Labs網站,即可隨時隨地體驗。
  • 很讚的免費電子書討論微分段的相關觀念,下面這兩本都很好:
  1. VMware NSX® Micro-segmentation Day 1:
    https://www.vmware.com/content/dam/digitalmarketing/vmware/en/pdf/products/nsx/vmware-nsx-microsegmentation.pdf
  2. Micro-Segmentation for Dummies:
    https://www.vmware.com/content/dam/digitalmarketing/vmware/en/pdf/products/vmware-micro-segmentation-for-dummies-book.pdf
  • VMware Techzone內有完整地對應微分段安全方案設計的相關文件:https://nsx.techzone.vmware.com/resource/nsx-security-reference-design-guide
  • 再說一次:快找離你最近的VMware客戶顧問或經銷商專家進行了解吧!眾多VMware技術專家都非常樂意與各位進行方案說明與展示~~

那下篇文章就進入系列文主題,我們先從微分段方案規劃的相關常見議題進行討論。