網路虛擬化NSX 技術文章系列二百一十一: NSX IDPS：方案簡述（一）

作者： Colin Jao 饒康立 – VMware資深技術顧問，主要負責VMware NSX產品線，目前致力於網路虛擬化、分散式安全防護技術與新應用遞送方案的介紹與推廣。

在NSX的網誌系列內，我們不止一次地和大家討論過分散式安全機制，從功能、方案架構、部署實務方法、相關工具等等，我想有持續關注系列文章的同好們應該對微分段功能都很清楚吧。接下來的系列我們的重點並不放在微分段的架構與好處，而是要討論功能上的新方案：由NSX-T 3.1版開始，除了原本的L4 / L7防火牆外，NSX Data Center目前已經可以提供IDPS (Intrusion Detection / Prevention System) 的功能，進一步完善虛擬化環境內工作負載的網路安全防護。

先就現有功能進行回顧。目前NSX-T Data Center支持的網路安全功能有哪些呢？

• 標準的四層防火牆：基於網路流來源與目的端的IP / Protocol / Port，以具狀態 (Stateful) 的方式進行網路流通過與阻擋的判斷

• 七層防火牆 (Context-Aware Firewall)：閱讀網路流表頭 (header) 內的資訊，判斷網路流是屬於哪種應用協議，來進行通過與阻擋的判斷

• 身份識別防火牆 (Identity Firewall)：實際上是上述 L4 / L7 防火牆的變型，NSX可以與虛擬機器內的VMtools進行溝通，確認虛機登入的用戶是隸屬於哪個企業AD群組，再基於用戶身份來進行網路流通過與阻擋的判斷。後續NSX也應會支援基於AD Security Event的Log Scraping功能，但時程未定

• FQDN / URL Filtering：同樣是 L7 防火牆的變型，透過對應網域名稱與IP地址的解析，NSX可支援僅允許用戶連往某些特定網域，而阻止到其他網域的連線

而除了上面談到的功能外，更進一步，NSX-T已經將IDPS的比對引擎以分散式架構放到每台vSphere裡面，對工作負載網卡進行保護。目前的NSX IDPS功能上有下列特徵：

• 基於特徵 (signature) 比對機制，判斷一個網路連線是否有潛在或明顯的風險，對管理者發出告警，或直接對連線進行阻斷。

• 現行採用開放的特徵資料庫，包含了Emerging Threat (ET) 以及Trustwave Spiderlab (SLR) 的特徵比對值。後續會將Lastline現有以及透過不同NDR機制更新的特徵值也放入比對資料庫內。

• 支援完整的CVE弱點列表 (Common Vulnerabilities and Exposures) 以及 CVSS 弱點管理計分 (Common Vulnerabilities Scoring System)

• 可以定義不同的Signature Profile，就不同攻擊手法、目標系統、應用軟體等訂製適合的偵測機制

• 防護機制可選擇僅偵測 (IDS) 或是進行阻斷 (IDP)。管理者可以細緻到選定單一特徵的行動，確認符合時是僅要告警還是中斷連線

在功能上，我會和大家說這是一個企業等級，具備標準入侵偵測及防禦功能的方案。但如同大家熟知的，NSX分散式防護架構的真正價值不是在和友商比較細部的安全防護規格，而在於『分散式』、『每個虛機都能防護』的特殊架構。下圖是NSX IDPS的系統架構：

大家可以看到，IDPS功能可以放到每一台vSphere (Transport Node) 伺服器內，並整合現有的DFW架構。管理者於NSX Manager內集中進行DFW以及IDPS的功能配置，Manager會把這些配置發送到每台vSphere內，建立對應的防火牆比對引擎以及IDPS特徵配置。虛機進出的網路封包首先透過DFW Filter轉送到vSphere核心內的防火牆規則進行比對，若比對通過，再往上送到IDPS Engine內進行檢查，而如果沒問題，封包才會被放行進行後續的傳送動作。

上面的架構可以說是DFW運作的加強版。因此很重要的，NSX IDPS的功能支持了所有原本分散式安全防護的特色，也就是大家熟知且喜愛的下列效益：

• 對每個工作負載的網卡均進行防護

• 防護架構與網路拓墣無關，虛機間Traffic是在相同網段或不同網段均不影響防護，無需更動網路架構

• IDPS功能分散到每台vSphere進行防護，但集中於NSX Manager內提供管理。

• 提供軟體定義的機制，管理者除了圖形介面外，可透過 API / SDK編程等方式進行管理

• 支援群組與標籤機制，管理者可以建立對應業務、部門、安全等級等不同動態群組，進行不同的IDPS防護模式，且新機器建立時自動提供防護

• 分散式架構，實體vSphere伺服器橫向擴充時自動同時擴充安全處理能力

上面是對於NSX IDPS新功能的簡單摘要，我想比起文字描述，大家應該更想看實際畫面。下一篇我會以實際介面上的配置畫面來和各位做進一步的功能說明。另外，應該很多先進會想問Lastline，VMware買入這家市場領導的NDR (Network Detection and Response) 方案後，後續與NSX IDPS的關聯。這也會在本系列文的最後會與大家討論。