SDN VMware NSX网络原理与实践- NSX 与 OpenStack【4.3】

11.1.2 NSX 与 Palo Alto 集成解决方案

        Palo Alto 的 NGFW 分两种，一种是物理硬件防火墙，还有一种就是可以集成虚拟化 Hypervisor 的虚拟防火墙。其中虚拟防火墙目前支持的虚拟化平台如下：

 VMware ESXi/NSX/vCloud Air；  Citrix NetScaler SDX；  KVM/OpenStack；  AWS 公有云服务。 用来与 NSX 网络虚拟化平台集成的，自然是支持 NSX 的虚拟防火墙。 NSX 与 Palo Alto 的集成解决方案中， Palo Alto 提供了如下核心组件。  VM 系列防火墙： VM 系列防火墙是用于虚拟化环境的 Palo Alto NGFW。

        它使用 了与 Palo Alto 硬件版 NGFW 相同的 PAN-OS 软件，在虚拟化与云计算环境中实现 了安全扩展。这意味着，在虚拟化和云计算环境中， Palo Alto 安全平台可以通过 App-ID 的技术，对虚拟机之间的穿越流量进行归类和定义其身份，然后进行协调 保护，实现诸多应用层的安全，如拦截恶意网站、防范漏洞扫描、防止病毒和间 谍软件的入侵、使用内容识别技术进行恶意 DNS 查询等。 WildFire 服务提供的高 级检测和分析功能，也可以及时发现未知的恶意软件，并在 5 分钟内生成这个恶 意软件的标识，自动运用安全策略将其拦截。  动态地址组：在虚拟化和云计算环境中，虚拟机经常在服务器之间进行漂移，因此不应 该再基于静态 IP 地址和端口来定义其策略。在 PAN-OS 6.0 软件版本下，可以通过定义 动态地址组的特性，使用为虚拟机打标签作为其身份的方法来创建策略， 只替代传统的 基于静态目标的定义方式。也可以在虚拟机之上针对其不同属性设置多个标签并运用于 动态地址组， 以便虚拟机在创建或在漂移时，动态生成安全策略。

          Panorama 管理软件：在虚拟化和云计算环境中，使用了与物理防火墙设备相同的 管理方式—Panorama 集中化安全管理软件。 Panorama 可以集中管理所有物理和虚 拟安全设备（如果 Internet 出口防火墙是 Palo Alto 硬件防火墙产品，就能得到统一的 管理）。 从部署安全策略，到威胁的分析，再到生成整网的报告，都是在 Panorama 中 完成的。 Panorama 将 Palo Alto 的 VM 系列虚拟防火墙注册为 NSX 的一个服务，从而 使得 NSX 能和 Palo Alto 解决方案集成。一旦服务成功注册，就可以部署一个或多个 集群，每一个集群内的主机都可以根据预先编排的策略进行虚拟防火墙的部署、授权、 注册和配置。 图 11.1 所示为 NSX 与 Palo Alto 的融合解决方案的逻辑架构图。可以看到，在 NSX 分 布式防火墙的基础上， 另外增加了一层 Palo Alto VM 系列防火墙，用来处理从 NSX 分布式 防火墙重定向来的网络流量，其部署策略和重定向策略，都是由 NSX Manager 定义的。而 Palo Alto VM 系列防火墙的策略，又通过与 NSX Manager 集成的 Panorama 进行定义。此外， Panorama 可以对外部物理防火墙进行统一管理。

        NSX 与 Palo Alto 的融合解决方案有如下特点。  独立于网络拓扑架构：无论网络是基于 Overlay 技术搭建的逻辑网络，还是通过传 统的 VLAN 进行部署的，安全策略都永远与虚拟机的位置和连接的端口无关。  自动地部署和配置：注册到 NSX Manager 的 Panorama 成为了安全管理平台，并为 NSX Manager 提供关于 Palo Alto VM 系列虚拟防火墙的信息。其后， NSX Manager 就会在每一个 ESXi 主机上自动化部署下一代安全服务。 Palo Alto VM 系列虚拟防火 墙在成功部署之后，会与 Panorama 直接通信，并由 Panorama 进行授权和配置的工作。

          无缝重定向至下一代安全服务：在 NSX 网络虚拟化环境中，流量会通过 NSX 的 API 直接自动重定向到 Palo Alto VM 列虚拟防火墙，而无需对逻辑网络的任何组 件进行手动配置。  基于应用、用户、内容和虚拟机的“容器” 的动态安全策略：所有的虚拟应用程 序都可以被实例化，并被安放在逻辑的“容器” 内。“容器” 的概念可以扩展到基 于 Palo Alto 下一代安全平台动态通信组的 VM 系列虚拟防火墙的安全策略。在 VMware 和 Palo Alto 的管理平台之间可以实现完整的上下文共享，使得动态地址 组通过虚拟机容器的最新信息进行更新，而不是手动追踪成百上千的 IP 地址。这 个特性使得我们非常容易在虚拟应用之上应用安全策略，无论虚拟机何时创建或 在网络中漂移到什么位置。

         利用下一代安全，保护虚拟应用和数据：由于 VM 系列虚拟防火墙使用了 PAN-OS操作系统，因此可以启用 PAN-OS 带来的全面的下一代安全特性来部署数据中心 应用的定义、控制和安全策略，并对所有威胁的内容进行检测。安全的应用意味 着可以建立基于应用程序的功能、用户和用户组、内容的防火墙策略，而不是基 于端口、协议和 IP 地址，从而将传统的只能进行允许或拒绝操作的策略，转变为 更加友好的策略模型。 Palo Alto 的下一代安全平台在整个安全生命周期内都能够 进行有效的安全防范，以保护系统免受病毒、间谍软件、恶意软件和有针对性的 未知威胁，如高级持续性威胁（Advanced Persistent Threat， APT）  与主机同步线性扩展：在 Hypervisor 数量增长时， IT 管理员无需考虑网络安全功 能所需的物理资源消耗—每增加一个 Hypervisor， Palo Alto 下一代安全平台就会 在上面自动生成，只要 license 数量足够。

11.1.3 如何集成 NSX 与 Palo Alto NGFW

        NSX 与 Palo Alto NGFW 的融合解决方案利用“嵌入、链接与定向”的方式，将 Palo Alto 的下一代防火墙技术集成在 NSX 网络虚拟化平台之中，实现在基于微分段技术的 NSX 分 布式防火墙之上，引入 5-7 层应用安全防护。 下面来讲解如何将两个不同公司的不同技术 集成在同一个解决方案平台上。 这个融合解决方案对于两家公司的产品的软件，有着版本要求，需要的最低版本如下：  PAN-OS 6.0（Panorama and VM-Series）以上版本；  ESXi 5.1 以上版本；  vCenter 5.5 以上版本；  NSX Manager 6.0 以上版本。 有了这些软件后就可以进行部署了。部署流程如图 11.2 所示。

        1．首先，需要将 Panorama 注册到 NSX Manager。注册时，需要在 Panorama 的 VMware Service Manager 界面上定义 NSX Manager 的各种信息，如 IP 地址、主机名、证书等。注 册成功之后，就可以在 NSX Manager 的 Service Definitions 中看到 Palo Alto 安全服务， NSX 之后也可以自动根据数据中心内部的动态变化（如虚拟机迁移）与 Panorama 中的策略同步。 2．之后，需要通过 NSX Manager 在所有 ESXi 主机上部署 Palo Alto VM 系列虚拟防火 墙。这样，集群内每台主机就都可以获得 Palo Alto 的 NGFW 服务。 NSX Manager 会在每 台主机上自动加载 Palo Alto VM 系列虚拟防火墙的 OVF 文件，启动虚拟防火墙，并为新建 的防火墙提供通信地址和 Panorama 的信息。

         3． Panorama 会对每个虚拟防火墙进行 license 的授权，并将安全策略推送到每一个节 点。 Palo Alto VM 系列虚拟防火墙只使用一个 vNIC 用于管理，这个接口与 Panorama 直接 通信，以获得策略规则配置和交换实时信息（如流量日志、策略更新等）。

         4． 在 NSX Manager 里创建了安全组之后，它就会与 Panorama 的动态地址组关联起来。在 NSX 与第三方安全平台的集成中，在执行（Action） 的操作中，会通过流量重定向。因此，将逻 辑网络中的流量引过来， 将需要第三方安全服务处理的流量交由 Palo Alto 的 VM 系列虚拟防火 墙来处理了。值得注意的是，这样处理流量并不会产生所谓的“流量跳数增多” 或“发夹效应”， 因为 NSX 分布式防火墙和 Palo Alto VM 系列防火墙都是分布式部署在 Hypervisor 上的。 在 Panorama 中，需要把通信组定义成“对象”，然后针对这些对象定义其策略规则。策略 规则包括源、目的、应用类型、服务、执行策略、安全目标等。 其中， 在应用类型、服务、目 标等策略规则的定义上，都是 NSX 网络虚拟化平台甚至一些其他安全厂家都无法实现的。 表 11.1 所示为在 Panorama 上创建的一个简单的 Palo Alto 下一代安全平台策略，可以 针对 Web 层去往 App 层的 RabbitMQ 应用， 以及 App 层去往数据库层的 SQL 应用进行处 理，而这些都是传统的 2-4 层防火墙不支持的。

        5．当集群增大、主机数量增加时，上述所有步骤是自动完成的。 NSX Manager 获得了 ESXi 主机的变化信息，而这些信息都可以在两个厂商的平台中同步并随时更新。 6．一旦 Panorama 获得了来自 NSX Manager 的实时更新信息，它就会再次推送给 Palo Alto VM 系列虚拟防火墙，重复之前的步骤。这样就可以在新的主机上自动化部署 Palo Alto 的 VM 系列虚拟防火墙。

        在第 6 章中讲到， 利用基于微分段技术的 NSX 分布式防火墙， 可以对三层 Web 应用 模型进行防护。 现在就可以利用 NSX 与 Palo Alto NGFW 的集成解决方案，对这个模型做 进一步安全防护了。如图 11.3 所示，在 Web 层、 App 层和数据库层都部署了 Palo Alto VM 系列虚拟防火墙， 这就可以将需要进行 5-7 层高级安全防护的流量，重定向到 Palo Alto 下 一代安全平台中去处理，这样， Web 服务器与 App 服务器的交互、 App 服务器与数据库的 交互，都能实现高级安全。在 NSX 网络虚拟化平台中，不仅东西向流量可以这样处理，南 北向流量同样可以—从用户端访问Web服务器的流量也可以由Palo Alto下一代安全平台 处理，因为 NSX Edge 服务网关是以 ESXi 虚拟机的形式部署的，同样可以在其之上部署 Palo Alto VM 系列虚拟防火墙。当然也可以针对南北向流量部署 Palo Alto 物理防火墙，并 由 Panorama 进行同一的策略和管理。这样一来， NSX 中重要的安全功能“微分段” 技术， 被应用到了网络的 5-7 层。

        值得注意的是，所有被 Palo Alto 防火墙策略“干掉” 的流量、病毒或恶意软件等，都 可以在 Panorama 之上被网络或安全管理员看见， 因此具有高可视性。这样，网络或安全管理员就可以针对外部的攻击或内部出现的数据泄露采取进一步措施。

11.1.4 NSX 与 CheckPoint vSEC 的集成解决方案

        NSX 与 CheckPoint vSEC 的集成解决方案，是两家公司于 2015 年发布的。该解决方案 的核心是，利用安装在 ESXi 中的 CheckPoint vSEC 虚拟防火墙，利用状态检测的功能，进 行 NSX 环境下的 5-7 层安全防护，并实现安全策略在 SDDC 中的自动化。 该解决方案的原理、实现和逻辑架构，与 Palo Alto/NSX 集成解决方案非常相似。 下面 通过图 11.4 来说明 NSX 与 CheckPoint vSEC 集成解决方案的工作方式。

        可以看到，该解决方案的工作方式与 Palo Alto/NSX 集成解决方案几乎完全一致。 CheckPoint 将其管理平台注册到 NSX 的管理平台后， CheckPoint vSEC 虚拟防火墙就会在 ESXi 主机上自动部署，而 vSEC 的安全策略会由 CheckPoint 的管理平台推送下来，而所有 信息在 CheckPoint 的管理平台和 NSX 的管理平台之间都是同步的。系统之后会通过流量 重定向，让 vSEC 虚拟防火墙处理相关流量。最终， NSX 网络虚拟化平台实现了 5-7 层应 用安全和安全策略的自动化部署。 NSX 与 CheckPoint vSEC 的融合解决方案有如下特点。

         将 NSX 基于微分段的分布式防火墙技术扩展到了应用层， 而且没有增加网络拓扑 和流量模型的复杂性。  全方面覆盖的安全防护。通过分布式部署的 vSEC 虚拟防火墙，将安全策略运用到 了每一个虚拟机的虚拟接口，并与全球的综合威胁情报数据库同步，主动防御新型的针对性攻击、阻止僵尸网络、 APT 和零天攻击。

         简化的安全管理。通过集中的虚拟安全网关进行集中配置和监控。所有虚拟工作 负载的流量都会被记录，并在仪表板中看见其安全报告和相关日志。由于所有信 息都在 NSX Manager、 vCenter 和 CheckPoint vSEC 的管理平台之间共享，且 CheckPoint 的安全平台可以根据基于上下文的安全感知策略，对于上下文的标签、 字段、特征的匹配结果，判断流量是否是安全可信的，这样系统会根据新的威胁 自动快速创建新的安全策略。  自动化的安全业务流程。 CheckPoint 在发现恶意软件后或新攻击后，会创建策略， 将其拦截，并通知到 NSX 平台中的其他主机， 确保其他主机在恶意软件入侵之前 就得到安全保障， 而且这些过程都是自动完成的。预定义的 CheckPoint vSEC 模板 也可以用于自动在 ESXi 主机中部署 Checkpoint 安全平台。

11.1.5 NSX 与 Symantec 的集成解决方案

        由于 Palo Alto 和 CheckPoint 提供的防火墙主要是针对 5-7 层的应用安全，对多种类型 的攻击和恶意软件进行防御，但是在防病毒层面，还是比不上 Symantec、 TrendMicro 这样 专门的防病毒厂商。因此，针对数据中心内部的服务器（尤其是易感染病毒的 Windows Server），可能还需要部署专门的病毒防护服务，而 Symantec 和 TrendMicro 的解决方案都 可以集成到 NSX 网络虚拟化平台。 下面介绍 NSX 与 Symantec 的集成解决方案。部署在 NSX Symantec 中的服务叫作 SVA （Symantec Virtual Appliance）。 如图 11.5 所示，它分布式部署在 ESXi 主机中，作用是反病毒 （Antivirus/）、 反恶意软件（Antimalware）。与 Palo Alto、 CheckPoint 解决方案类似，在 Symantec 与 NSX 平台集成后， SVA 都是自动部署和自动横向扩展的。

        在注册时，首先需要在 Symantec Data Center Security Manager 中输入 vCenter 和NSX Manager 的 IP 地址、用户名和密码，以使得 SVA 服务注册到 NSX 网络虚拟化平台。之后， Symantec 的网络安全服务就可以部署到每台 ESXi 主机。这一部分过程与 Palo Alto、 CheckPoint 解决方案完全一致。 进入配置阶段。首先进入 NSX Manager 的 Service Composer 界面， 创建 Securty Group。 可以创建一个名为 Quarantine 的 Securty Group。在 Service Policy 界面中，创建一个名为 Symantec Scan 的策略， 并将其与 Quarantine 安全组关联， 这样就可以利用 SVA 服务发现 这个安全组中的威胁并进行处理。值得注意的是，由于 Symantec 反病毒、反恶意软件服 务并不是一个防火墙服务，因此不需要类似于 Palo Alto、 CheckPoint 解决方案中的流量重 定向，而是根据在 Symantec Data Center Security Manager 中定义的各种防病毒策略，针对 系统中的威胁，进行主动发现和防御。

NSX 与 Symantec 的集成解决方案有如下好处：
 减少资源冲突，如在文件升级时进行病毒扫描；
 根据预先配置的策略进行自动化部署，减少安全部署时间；
 提供单一的安全服务实例，集成整个安全生态系统，降低运维的复杂性；
 通过统一的管理控制台和自动化的编排策略，使整个安全系统具备高可扩展性。

11.2 NSX 与合作伙伴共同交付 SDDC

        负载均衡只是应用交付的一个方面。 F5、 A10 等公司被很多人认为是“生产负载均衡 设备的厂商”， 但它们从来都将自己定位为应用交付解决方案提供商，而不是单纯的“负载 均衡设备厂商”。 数据中心在当前 IT 的环境中会有更多的应用，这些应用大多都需要实现负载均衡、认 证与授权、安全、七层服务、可基于 API 进行编程，并需要支持弹性扩展。这些需求使得 在部署应用时，解决方案的结构越来越复杂，各种终端都面着 DDoS 威胁、应用层安全威 胁和恶意软件入侵的可能。 而且随着 BYOD 理念深入人心，大量企业员工使用移动设备连 接应用服务， 这又带来移动设备的控制、管理和无线安全的问题。

        此外，由于没有统一有 效的基础架构支持，导致企业对应用的运营不统一， 由此带来不一致的业务执行和操作策 略，云环境中也会出现不可预测的应用性能和安全问题，新的管理规范也会导致运营成本 不断上升。 为此，应用交付解决方案需要将最安全、 最快速、 最可靠的应用在任何时间交 付给任何地点的任何人。 NSX 网络虚拟化平台可以解决应用交付中的负载均衡问题，甚至在 NSX 6.2 版本之后还 能支持分布式的负载均衡部署，然而它对应用交付中其他高级功能的支持还是有限的。为此， VMware 公司与 F5 公司联手推出了 NSX 与 F5 BIG-IP/BIG-IQ 的集成解决方案，帮助客户解决 数据中心中的应用交付部署和运维难题，并最终实现以应用为中心的网络虚拟化平台。

11.2.1 F5 应用交付解决方案简介

        在当今快速变化的随需应变文化中，用户希望他们的应用始终能够在任何设备上快速、 安全、有效地运行。企业需要向内部员工和外部客户提供灵敏的、覆盖整个渠道的、能够无缝 交付新功能的应用来满足它们的期望。除了从企业数据中心向用户进行传统的线性应用交付之 外，企业现在还应当在其数据中心以外的地方（包括 SaaS 提供商）交付应用。而现今，越来 越多的移动用户也需要实现在任何地点通过任何设备访问应用的功能。与此同时，全球创新的 步伐一直在加快，新应用的发布周期不断缩短，出现了开发运营模式，并有向持续交付演变的 趋势。虽然这样的转变可以更好地把 IT 和业务协调起来，但它也为传统的基础架构带来了挑 战。应用交付网络必须推动创新，但不能以牺牲稳定性、安全性或性能作为代价。

        现今，用户的期望很简单，创新的需求也很清晰，但应对这些挑战的解决方案却并非如此。 即使是当今 IT 系统运转最为顺畅的企业，也同样面临着挑战—这些企业需要处理的问题包 括飞速演变的 IT 架构、应用的增长以及因移动性、云计算和虚拟化的发展而造成的复杂性。 想要成功地交付应用， IT 部门必须：  从任何地点， 针对任何人员和任何设备优化应用性能，而不应增加成本或复杂性；  实现快速部署和创新；  随需应变的灵活性和规模。 IT 如何满足这些创新性和适应性的需求，同时保持应用的可靠性呢？一旦不能在需要扩 展应用服务之时进行扩展，企业就无法实现收入增长， 客户服务质量也会降低，相应的成本也 会上升。传统基础架构的僵化是通向敏捷、以应用为中心的网络之路上的重大障碍。

        为此，企 业需要将 4-7 层功能、可编程性以及应用流畅性融合到一个可扩展的应用交付网络中。 虽然高可用性和负载均衡等核心功能是大多数应用所需要的，但应用交付网络还应该 提供更多其他的功能。为此， F5 公司的应用交付控制器（Application Delivery Controller， ADC）提供了数百项功能，这些功能可以被大致分为以下几类。  对应用交付网络和应用协议进行解析、转换和操控。例如 IPv4 向 IPv6 转换、 FIX 流量的解析等。  加密和解密应用流量，实现安全性、流量检测等。例如 SSL 加解密、 HTTP cookie 加密、 SSL 流量可视性、密钥保护等。  提供应用流量信息。例如设备识别、位置感知、可信度感知、应用和服务器健康 监控等。  改善应用的性能。例如 HTTP 对象压缩、 TCP 连接复用、基于服务器健康评分的 自适应流量分配、 TCP 协议优化等。  控制和操纵流量。例如负载均衡、高可用性、连接限制、 QoS 等。