本文以某企业虚拟化平台为例来说明vShield安全产品在保护企业应用方面的作用。该企业相关应用的拓扑结构如下:
 
 
本次重点关注的是一台数据库服务器,一台应用服务器和两台Web服务器,它们构成了一个典型的三层结构。大多数企业的Web应用平台都是这样构成的。为了检测出当前系统中存在的安全问题,我们在外网对上述四台计算机进行扫描(这些计算机经NAT映射为192.168.110.x地址),结果如下:
 
1,Web服务器上开放了下述三个端口,其中80端口供用户访问。
 
 
2,在应用服务器上开放了下述端口,其中1234供Web服务器访问。
 
 
3,在数据库服务器上开放了下述端口,其中3306是数据库端口,供应用服务器访问。
 
 
在内部10网段上执行扫描,结果相同。
 
根据扫描结果我们发现,当前企业环境中存在的主要安全是:
1,网络边界没有安全防护,通过外网可以访问一些不应该开放的端口。
2,企业网络内部主机与主机之间没有安全防护。
3,虚拟桌面用户的资源访问应该受到限制,仅向各虚拟桌面开放需要访问的资源。
 
下面我们通过部署两种安全防护手段(vShield Edge与vShield App)来解决上述问题。vShield Edge类似于边界安全网关,用于防范来自外界的***行为,主要提供路由,防火墙,地址转换,DHCP,***和负载平衡功能;vShield App是虚拟网卡级别的防火墙,用于防范来自内部网络的***行为。
 
目标:Web服务器仅对外开放80端口,且不允许从内部向外发起会话,应用服务器的1234端口仅对Web服务器开放,而DB服务器的3306端口仅向应用服务器开放。
 
具体实现方法:
 
1,首先,我们需要在企业网络与外部网络之间部署一个边界防火墙。如下图,所有的虚拟机都连接在dvPortGroup - Application 1(10网段)上,因此我们将边界防火墙的内口也接到这一端口组,并将它的外口连接到外部网络(dvPortGroup - External,192网段),这样就把它跨接在内外网之间了。
 
 
接下来我们来配置防火墙规则,当前的规则是允许一切流量通过,这显然不是我们所期望的,因此要对规则加以修改,加入正确的访问规则,并将缺省策略变更为阻止:
 
 
 
对于NAT而言,我们也应该修改,当前的配置过于宽泛,我们应该进行更准确的限定,原则是,只为必需的主机配置NAT映射:
 
 
 
接下来,我们将通过技术手段对内部主机之间的通讯进行隔离保护,我们称之为微分段。根据前面的分析,我们可以把虚拟机按照功能分成多个区域,分为数据库区,应用区和Web区。之间的访问规则比较清晰。
 
 
vShield App作为一款主机防火墙产品,与传统的防火墙产品最大的不同在于,可以充分利用虚拟基础架构中的资源来制定访问规则,如下图,不同类别的虚拟机已经分属于不同的资源池,这给我们制定规则带来了很大的便利。
 
 
为了更方便制定规则,我们可以做一些准备工作,例如将相关主机整理成主机组。
 
 
接下来我们转到App Firewall设置页面,添加三条规则,第一条允许WebTier中的主机访问AppTier中主机的1234端口,第二条允许AppTier中的主机访问DBTier中主机的3066端口,这两条规则利用了资源池对象。第三条规则允许本次实验的辅助服务器访问相关资源,同时也应用了前面定义的虚拟机组。
 
 
下面我们来实现第三项任务,对虚拟桌面用户的行为加以控制,虚拟桌面用户数量较大,而且可能不断变化,因此我们必须采用基于组的访问规则来规范用户的行为。本例中,我们将用户桌面分为常规桌面和受限桌面,桌面与桌面之间应该是相互隔离的,且不允许常规桌面访问Tier-1核心应用。我们通过下图把访问规则总结一下:
 
 
接下来,修改vShield App的防火墙规则,以实现上述的访问控制:
 
 
安全规则配置好以后,我们连接到客户端,再次进行测试,发现客户机只能访问192.168.110.207的80端口了,根据vShield Edge中的配置我们发现,这个地址实际上由vShield Edge的Load Balancer负责监听,并将会话重向定到两台内部的外部主机。
 
 
结论:我们可以结合vShield Edge与vShield App的功能,在企业的虚拟架构中提供全面的访问控制,可以有效保证资产安全,并且在安全规则的管理方面具有较大的灵活性,使用非常简便。
 
[完]