本文以某企業虛拟化平台為例來說明vShield安全産品在保護企業應用方面的作用。該企業相關應用的拓撲結構如下:
本次重點關注的是一台資料庫伺服器,一台應用伺服器和兩台Web伺服器,它們構成了一個典型的三層結構。大多數企業的Web應用平台都是這樣構成的。為了檢測出目前系統中存在的安全問題,我們在外網對上述四台計算機進行掃描(這些計算機經NAT映射為192.168.110.x位址),結果如下:
1,Web伺服器上開放了下述三個端口,其中80端口供使用者通路。
2,在應用伺服器上開放了下述端口,其中1234供Web伺服器通路。
3,在資料庫伺服器上開放了下述端口,其中3306是資料庫端口,供應用伺服器通路。
在内部10網段上執行掃描,結果相同。
根據掃描結果我們發現,目前企業環境中存在的主要安全是:
1,網絡邊界沒有安全防護,通過外網可以通路一些不應該開放的端口。
2,企業網絡内部主機與主機之間沒有安全防護。
3,虛拟桌面使用者的資源通路應該受到限制,僅向各虛拟桌面開放需要通路的資源。
下面我們通過部署兩種安全防護手段(vShield Edge與vShield App)來解決上述問題。vShield Edge類似于邊界安全網關,用于防範來自外界的攻擊行為,主要提供路由,防火牆,位址轉換,DHCP,×××和負載平衡功能;vShield App是虛拟網卡級别的防火牆,用于防範來自内部網絡的攻擊行為。
目标:Web伺服器僅對外開放80端口,且不允許從内部向外發起會話,應用伺服器的1234端口僅對Web伺服器開放,而DB伺服器的3306端口僅向應用伺服器開放。
具體實作方法:
1,首先,我們需要在企業網絡與外部網絡之間部署一個邊界防火牆。如下圖,所有的虛拟機都連接配接在dvPortGroup - Application 1(10網段)上,是以我們将邊界防火牆的内口也接到這一端口組,并将它的外口連接配接到外部網絡(dvPortGroup - External,192網段),這樣就把它跨接在内外網之間了。
接下來我們來配置防火牆規則,目前的規則是允許一切流量通過,這顯然不是我們所期望的,是以要對規則加以修改,加入正确的通路規則,并将預設政策變更為阻止:
對于NAT而言,我們也應該修改,目前的配置過于寬泛,我們應該進行更準确的限定,原則是,隻為必需的主機配置NAT映射:
接下來,我們将通過技術手段對内部主機之間的通訊進行隔離保護,我們稱之為微分段。根據前面的分析,我們可以把虛拟機按照功能分成多個區域,分為資料庫區,應用區和Web區。之間的通路規則比較清晰。
vShield App作為一款主機防火牆産品,與傳統的防火牆産品最大的不同在于,可以充分利用虛拟基礎架構中的資源來制定通路規則,如下圖,不同類别的虛拟機已經分屬于不同的資源池,這給我們制定規則帶來了很大的便利。
為了更友善制定規則,我們可以做一些準備工作,例如将相關主機整理成主機組。
接下來我們轉到App Firewall設定頁面,添加三條規則,第一條允許WebTier中的主機通路AppTier中主機的1234端口,第二條允許AppTier中的主機通路DBTier中主機的3066端口,這兩條規則利用了資源池對象。第三條規則允許本次實驗的輔助伺服器通路相關資源,同時也應用了前面定義的虛拟機組。
下面我們來實作第三項任務,對虛拟桌面使用者的行為加以控制,虛拟桌面使用者數量較大,而且可能不斷變化,是以我們必須采用基于組的通路規則來規範使用者的行為。本例中,我們将使用者桌面分為正常桌面和受限桌面,桌面與桌面之間應該是互相隔離的,且不允許正常桌面通路Tier-1核心應用。我們通過下圖把通路規則總結一下:
接下來,修改vShield App的防火牆規則,以實作上述的通路控制:
安全規則配置好以後,我們連接配接到用戶端,再次進行測試,發現客戶機隻能通路192.168.110.207的80端口了,根據vShield Edge中的配置我們發現,這個位址實際上由vShield Edge的Load Balancer負責監聽,并将會話重向定到兩台内部的外部主機。
結論:我們可以結合vShield Edge與vShield App的功能,在企業的虛拟架構中提供全面的通路控制,可以有效保證資産安全,并且在安全規則的管理方面具有較大的靈活性,使用非常簡便。
[完]