作者: Colin Jao 饒康立 – VMware資深技術顧問,主要負責VMware NSX產品線,目前致力於網路虛擬化暨分散式安全防護技術方案的介紹與推廣。 

 

這篇網誌內我們要描述身份識別防火牆的建置流程。基本上可以分成下面五個步驟,前兩個步驟是基礎的構件安裝,後面三個步驟則是依據業務需求所進行的組態設定。

 

NSX Manager建立與AD的接取 

 

NSX Manager必須要能夠接取到Domain Controller查詢有哪些用戶登入AD的事件。因此於NSX Manager的管理設定內要去進行Domain的組態。需求的設定包括了

 

  • Domain名稱以及NetBIOS名稱

 

  • Domain Controller的IP位址、協定選定為LDAP,走389 port。另外也需要輸入一個AD用戶帳號與密碼進行登入,這個用戶必須要有可以讀取整個Domain Tree物件的權限

 

  • 再設定可以接取Security Event Log的用戶與接取方式,採用的協定是CIFS 445 port,而這邊輸入的AD用戶帳戶必須要具備可以讀取Security Event Log的權限

 

  • 再設定可以接取Security Event Log的用戶與接取方式,採用的協定是CIFS 445 port,而這邊輸入的AD用戶帳戶必須要具備可以讀取Security Event Log的權限

 

  • 可以點擊一下如下圖的Update the local state按鈕,如果上面的設定都正確,這邊的設定會把AD內的用戶、群組等設定同步到NSX Manager內

 

上面的設定完成後,應該會看到像下面有顯示同步成功的狀態。

 

部署Guest Introspection Module

 

Guest Introspection Module是使用身份識別防火牆時的必要構件,用來進行IP與VMware的對應,以及身份識別防火牆內的網路流紀錄。請參考在前面網誌” 將VMware NSX結合資安大廠方案並設定Security Policy(一)”內的第三步驟,於各台vSphere Host上面進行Guest Introspection Module的部署

 

接著後續的步驟設定我們要用下面的情景來展現:假設企業內有區分為人事部門的用戶群組(HR Users)以及財務部門的用戶群組(Finance Users)。人事部門的用戶可以連接人事資訊系統的虛機(HR Servers),而財務部門的用戶可以連接財務部門系統的虛機(Finance Servers),但反過來由於企業安全政策的原因必須禁止。

 

AD內建立對應用戶群組 

 

因此首先我們必須先確認Domain Controllers內有建立人事部門與財務部門的使用者群組,並且相關的用戶已經被加入到對應群組。在下圖內,我們建立了兩個群組Fin-Users與HR-Users,HR-user01與HR-user02被加入HR-Users群組,另外Fin-User01 / Fin-User02被加入了Fin-Users群組。

 

Service Composer內設定用戶識別安全群組 

所以接下來我們要設定Security Group時,就可以在動態成員設定內選擇Entity,然後在後面的Select Entity Type內可以改為Directory Group。此時我們應該可以看到所有目前在AD內有設定的群組。因此我們就可以建立一個Finance-Users群組對應AD內的Fin-Users Group,另外建立一個HR-Users對應到AD內的HR-Users Group。

 

當然我們也可以用不同的方法如VM-Name / Security Tag等等來定義HR Servers / Finance Servers群組。比如說在下圖,我們定義所有以HR開頭的虛機都要加入HR Servers群組內。

 

設定需求之防火牆規則 

下面就很輕鬆了,我們可以依照我們的業務需求,在防火牆介面或是Security Policy介面內進行對應的設定。像下面的設定就很直接:

 

  • Finance用戶允許連接到Finance Servers

 

  • Finance用戶不可以連接到HR Servers

 

  • HR用戶可以連接到HR Servers

 

  • HR用戶不可以連接到Finance servers

 

下面我們做一些簡單的驗證:用HR-user01帳號登入一台Windows 7的桌面機器後,在下圖我們可以看到,去ping HR系統的兩台Web Server都可以連通,但此時去接取Finance系統的Web Server就失敗了。

 

此時若我們去看被登入的Windows 7虛機(Lab-Win7)的summary頁面,可以看到此虛機目前的Security Group Membership內有顯示目前屬於HR-Users安全群組。

 

同樣的,若在同一台Windows桌面機器內我們更換用戶,變成是Fin-User02登入時,狀況變成像下面這樣:去ping HR系統的兩台Web Server都失敗,但接取Finance系統的Web Server成功。

 

此時當我們看Lab-Win7這台機器的Security Group,會看到目前改成隸屬於Finance-Users這個群組之內了。

 

很快做一個總結:從上面的步驟,我們能夠看到一台Windows桌面虛機的防火牆政策設定,可以是基於不同的登入用戶而設定不同的規則。因此我們能夠很方便地將企業內的部門或單位與防火牆規則進行非常彈性並且直覺的安全防護設定。希望透過這兩篇對NSX身份識別防火牆的介紹,能讓大家感受到這個功能的好用與威力。