VMware NSX 配置分布式防火墙

已于 2024-03-06 18:03:26 修改
阅读量1.2k 收藏 15
点赞数 7
分类专栏: VMware NSX 文章标签: 分布式
于 2024-03-04 10:39:10 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/u011783233/article/details/136376433
版权

创建 NSX 分布式防火墙规则以允许或拒绝应用程序流量

  1. 测试 IP 连接性
    验证 3 层应用程序中虚拟机之间的 IP 连接。
    在 sa-web-01 命令提示符处,测试与 sa-web-02、sa-web-03、sa-app-01 和 sa-db-01 VM 的 ICMP 连接。
    在这里插入图片描述
    在这里插入图片描述
    在这里插入图片描述
    在这里插入图片描述从 sa-web-01,测试端口 8443 上对 sa-app-01 的 HTTPS 访问。
    在这里插入图片描述从 sa-app-01 测试 SQL 访问。
    在这里插入图片描述验证是否可以使用 Web 浏览器访问 3 层应用程序。
    在这里插入图片描述
  2. 创建安全组
    创建四个动态安全组来定义3层应用程序防火墙规则。
    1.创建包含 Web 服务器的动态安全组。
    a. 在 NSX UI 上,导航到清单>组。
    b. 单击添加组。
    在这里插入图片描述
    c. 输入Web-Servers作为名称。
    在这里插入图片描述
    d. 单击“计算成员”列下的“设置”链接,然后单击“ +添加条件”。
    e. 在标准 1 下,添加配置值。
    • 从下拉菜单中选择虚拟机。
    • 从下拉菜单中选择名称。
    • 从下拉菜单中选择包含。
    • web在文本框中输入。
    在这里插入图片描述
    f. 单击“应用”,然后单击“保存”。
    在这里插入图片描述
    g. 单击Web 服务器组的查看成员链接。
    h. 验证 sa-web-01、sa-web-02 和 sa-web-03 虚拟机已列出,然后单击关闭。
    在这里插入图片描述
    2.创建包含应用程序服务器的动态安全组。
    a. 单击添加组。
    b. 输入App-Servers作为名称。
    c. 单击“计算成员”下的“设置”链接,然后单击“ +添加条件”。
    d. 在标准 1 下,添加配置值。
    • 从下拉菜单中选择虚拟机。
    • 从下拉菜单中选择名称。
    • 从下拉菜单中选择包含。
    • app在文本框中输入。
    在这里插入图片描述
    e. 单击“应用”,然后单击“保存”。
    在这里插入图片描述
    f. 单击应用程序服务器组的查看成员链接。
    g. 验证 sa-app-01 虚拟机已列出,然后单击关闭。
    在这里插入图片描述
  3. 创建包含数据库服务器的动态安全组。
    a. 单击添加组。
    b. 输入DB-Servers作为名称。
    c. 单击“计算成员”下的“设置”链接,然后单击“ +添加条件”。
    d. 在标准 1 下,添加配置值。
    • 从下拉菜单中选择虚拟机。
    • 从下拉菜单中选择名称。
    • 从下拉菜单中选择包含。
    • db在文本框中输入。
    在这里插入图片描述
    e. 单击“应用”,然后单击“保存”。
    在这里插入图片描述
    f. 单击数据库服务器组的查看成员链接。
    g. 验证 sa-db-01 虚拟机已列出,然后单击关闭。
    在这里插入图片描述
    4.创建包含所有 3 层应用程序 VM 的动态安全组。
    a. 单击添加组。
    b. 输入3-Tier作为名称。
    c. 单击计算成员下的设置链接。
    d. 单击“成员”选项卡。
    e. 从类别下拉菜单中选择组。
    f. 查找并选中“应用程序服务器”、“数据库服务器”和“Web 服务器”复选框。
    g. 单击“应用”,然后单击“保存”。
    在这里插入图片描述
    在这里插入图片描述
    h. 单击3 层组的查看成员链接。
    i. 验证是否列出了 3 层应用程序的所有 VM,然后单击关闭。
    在这里插入图片描述
    4.创建分布式防火墙规则
    1.为3层应用程序创建分布式防火墙外部访问策略。
    a. 导航到安全>策略管理>分布式防火墙。
    b. 导航到“类别特定规则”选项卡,然后单击“应用程序”部分。
    c. 单击+添加策略。
    在这里插入图片描述
    d. 新策略行出现后,输入EXTERNAL ACCESS POLICY名称。
    在这里插入图片描述
    2.配置允许 HTTPS 流量流向 Web 服务器的规则。
    a. 单击“外部访问策略”附近的垂直省略号图标,然后选择“添加规则”。
    在这里插入图片描述
    b. 在“名称”列中,输入Allow External Web Traffic新规则的名称。
    c. 在“源”列中,将“任意”(默认)保留为选中状态。
    d. 在“目标”列中,单击铅笔图标,选中“Web 服务器”复选框,然后单击“应用”。
    e. 在服务列中,单击铅笔图标,选中HTTPS复选框,然后单击应用。
    f. 在“上下文配置文件”列中,选择“无”(默认)。
    g. 在“应用到”列中,单击铅笔图标,单击“组”,选中“Web 服务器”复选框,然后单击“应用”。
    h. 在“操作”列中,将“允许”(默认)保留为选中状态。
    在这里插入图片描述
    保留所有其他设置的默认值。
    3.为 3 层应用程序创建分布式防火墙策略。
    a. 单击“外部访问策略”附近的垂直省略号图标,然后选择“在下面添加策略”。
    在这里插入图片描述
    b. 新策略行出现后,输入3-TIER POLICY名称。
    4.单击 3-TIER POLICY 附近的垂直省略号图标,然后选择添加规则以添加三个分布式防火墙规则。
    在这里插入图片描述
    必须执行此步骤三次才能在 3 层策略下添加三个新的分布式防火墙规则。
    5.在第一行中,配置一条规则,允许通过端口 8443 从 Web 服务器到应用程序服务器的 HTTPS 流量。
    a. 在“名称”列中,输入Allow Web Traffic新规则的名称。
    b. 在“源”列中,单击铅笔图标,选中“Web 服务器”复选框,然后单击“应用”。
    c. 在“目标”列中,单击铅笔图标,选中“应用程序服务器”复选框,然后单击“应用”。
    d. 在“服务”列中,单击铅笔图标,单击“原始端口协议”选项卡,然后单击“添加服务条目”。
    e. 从服务类型下拉菜单中选择TCP ,将源端口文本框留空,输入目标端口,然后单击应用。8443
    f. 在“上下文配置文件”列中,选择“无”(默认)。
    g. 在“应用到”列中,单击铅笔图标,单击“组”,选中“ Web 服务器”和“应用程序服务器”复选框,然后单击“应用”。
    h. 在“操作”列中,将“允许”(默认)保留为选中状态。
    在这里插入图片描述
    保留所有其他设置的默认值。
    6.在第二行中,配置允许从应用程序服务器到数据库服务器的 MySQL 流量的规则。
    a. 在“名称”列中,输入Allow DB Traffic新规则的名称。
    b. 在源列中,单击铅笔图标,选中应用程序服务器复选框,然后单击应用。
    c. 在“目标”列中,单击铅笔图标,选中“数据库服务器”复选框,然后单击“应用”。
    d. 在“服务”列中,单击铅笔图标,选中“MySQL”复选框,然后单击“应用”。
    e. 在“上下文配置文件”列中,选择“无”(默认)。
    f. 在“应用到”列中,单击铅笔图标,单击“组”,选中“应用程序服务器”和“数据库服务器”复选框,然后单击“应用”。
    g. 在“操作”列中,将“允许”(默认)保留为选中状态。
    在这里插入图片描述
    保留所有其他设置的默认值。
    7.在第三行中,配置拒绝所有其他流量的规则。
    a. 在“名称”列中,输入Reject All Other Traffic新规则的名称。
    b. 在源列中,单击铅笔图标,选中3 层复选框,然后单击应用。
    c. 在“目标”列中,单击铅笔图标,选中“ 3 层”复选框,然后单击“应用”。
    d. 在“服务”列中,将“任何”(默认)保留为选中状态。
    e. 在“上下文配置文件”列中,选择“无”(默认)。
    f. 在“应用到”列中,单击铅笔图标,单击“组”,选中“3 层”复选框,然后单击“应用”。
    g. 在操作列中,从下拉菜单中选择拒绝。
    在这里插入图片描述
    保留所有其他设置的默认值。
    8.单击发布。
    在这里插入图片描述
    6.创建防火墙规则后测试 IP 连接
    测试应用程序之间的连接以验证分布式防火墙规则是否已成功应用。
    1.在 sa-web-01 命令提示符处,测试与 sa-web-02、sa-web-03、sa-app-01 和 sa-db-01 VM 的 ICMP 连接。
    在这里插入图片描述
    在这里插入图片描述
    在这里插入图片描述
    在这里插入图片描述
    NOTE:所有 ping 都会失败,因为分布式防火墙规则配置为拒绝 Web、应用程序和数据库 VM 之间未明确允许的所有流量。
    对于同一网段中的虚拟机,ping 也会失败,因为不存在允许从 Web 网段中的 sa-web-01 计算机到 sa-web-02 计算机的流量的显式规则。

2.从 sa-web-01,测试端口 8443 上对 sa-app-01 的 HTTPS 访问。
在这里插入图片描述
3.从 sa-app-01 测试 SQL 访问。
在这里插入图片描述
4.从 sa-app-01 控制台,测试与 sa-db-01 的 SSH 连接。
在这里插入图片描述
5.验证是否可以使用 Web 浏览器访问 3 层应用程序。
在这里插入图片描述
8. 导出分布式防火墙配置
导出并下载分布式防火墙配置。
1.导出分布式防火墙配置。
a. 在 NSX UI 上,导航到安全>策略管理>分布式防火墙。
b. 从操作下拉菜单中,选择导出固件配置。
在这里插入图片描述
c. 在导出防火墙配置向导中,VMware1!在密码短语和确认密码文本框中输入。
d. 单击导出。
在这里插入图片描述
防火墙配置的导出需要几秒钟才能完成。
e. 单击“下载”以下载防火墙配置文件。
在这里插入图片描述
f. 单击“下载”进行确认。
在这里插入图片描述

alu0136
关注
  • 7
    点赞
  • 15
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
vmware NSX
12-21
VMware 软件定义的数据中心 (SDDC) 架构将虚拟化技术延展至整个物理数据中心基础架构。VMware NSX® for vSphere® 是 SDDC 架构中的关键产品,它能够以编程方式创建、拍摄快照、删除和还原基于软件的虚拟网络。 NSX for vSphere 为数据中心管理人员提供了一种适用于底层物理网络的精简操作模型。NSX for vSphere 是一个无干扰解决方案,可以部署到任何 IP 网络中,包括现有的传统网络连接模型和任何供应商提供的下一代光纤架构。通过 NSX for vSphere,您可以在现有的物理网络基础架构上部署软件定义的数据中心。
VMware NSX原理与实践----NSX防火墙详解(一).txt
02-22
文档链接:https://blog.csdn.net/Gao068465/article/details/103948119 VMware NSX原理与实践----NSX防火墙详解(一) 该文档清楚的讲解了NSX防火墙的原理、架构、功能等等,可以帮助新手最快地上手,有利于初学者能够在最短的时间内对NSX 防火墙的学习有一个长足的进步
VMware NSX原理与实践----NSX防火墙详解(一)
Gao068465的博客
01-12 6642
接着说一说NSX防火墙是如何实现数据中心的防护,大家知道,一名黑客要想获得数据,就要通过Internet 访问到Web服务器,继而攻破App服务器等一系列节点,最后才能访问到数据库服务器。要注意到的是从Web服务器到App服务器再到数据库服务器都是数据中心内的东西向流量,这时候数据中心边界的物理防火墙则是没有了防护意义。由此可见光靠部署边界安全的策略已经被证实了不够完善。
SDN VMware NSX网络原理与实践- NSX-V 安全【3.2】
最新发布
qq_43416206的博客
07-02 980
跨 vCenter 的 NSX-V 的组件与 NSX-V 基本相同,但其部署、实现的功能还是有一些区别。 通用 NSX Controller 集群 每个跨vCenter的NSX-V环境都有一个通用NSX Controller与主用NSX Manager关联。辅用 NSX Manager 没有通用 NSX Controller 集群。
VMware NSX原理与实践----NSX防火墙详解(二)
Gao068465的博客
01-14 3073
上面提到了微分段技术的实质就是将NSX分布式防火墙布置到每一台虚拟机上,再往深了说,每个分布式防火墙实例时基于每台虚拟机的vNIC创建的。说简单点,一个虚拟机如果有三台vNIC,那么就应该有三台NSX分布式防火墙实例被关联到这个虚拟机才可以。
VMware NSX-网络虚拟化基础知识整理
11-28 1635
传统的数据中心都是用物理网络来分隔不同的业务系统,这就需要管理员预先规划好数据中心的网络拓扑结构,划分好 VLAN,以确保各个业务系统之间是相互隔离的。 传统的数据中心都是用物理网络来分隔不同的业务系统,这就需要管理员预先规划好数据中心的网络拓扑结构...
应对网络攻击 VMware呼吁构建分布式虚拟防火墙
weixin_33918357的博客
07-03 285
传统的网络安全采取以安全域为边界的方式,主要的安全保护措施放在了边界防火墙上,如今的数据中心网络安全依旧采取了以安全域划分的方式。然而,实践证明,以安全域为边界的网络安全不能有效防护网络攻击,基于SDN技术,采取NSX微分段安全技术已成必须。 “现已证明基于边界的网络安全保护是无效的,超过70%的黑客借助丢失、被盗或薄弱的认证信息成功入侵企业内部网络。建...
vmware NSX 网络解决方案
08-20
这是厂家给的一个NSX解决方案文档,对于售前售后都是可以借鉴的,尤其是售前方案设计阶段,可能会有比较好的思路
VMware NSX Manager 6 .txt
07-24
NSX Manager 是一个虚拟设备,提供图形用户界面 (Graphical User Interface, GUI) 和 REST API,用于创建、配置和监控 NSX-T 组件,例如逻辑交换机和 NSX Edge 服务网关。...安全服务和分布式防火墙
NSX 6.4 测试手册
07-02
NSX 6.4 测试手册 微分段 分布式防火墙策略 NSX 6.4 测试手册 微分段 分布式防火墙策略 NSX 6.4 测试手册 微分段 分布式防火墙策略 NSX 6.4 测试手册 微分段 分布式防火墙策略 NSX 6.4 测试手册 微分段 分布式防火墙...
VMwareNSX原理与实践----网络基础之交换机
10-10
VSAN是VMware vSphere环境中的分布式存储架构,它在集群主机上利用闪存和硬盘构建存储层。VSAN管理这些设备,提供统一的共享存储资源给vSphere集群。VSAN类似以太网中的VLAN,每个VSAN拥有独立的服务,同一VSAN内的...
VMware NSX 6.3
01-01
如果您的IT团队与大多数团队一样,您可能已经历过数据、应用和业务用户的大幅增长。您还可能会注意到,您的物理网络已难以满足需求。如果没有合适的工具,您将无法跟上业务的发展速度,大量的积压任务、服务请求和迫切的安全需求都将使您陷入危险境地。了解VMware NSX如何帮助您提升网络安全与管理优势。
VMWARE NSX-T
07-09
VMware NSX-T Reference Design Guide Table of Contents 1 Introduction 4 1.1 How to Use This Document 4 1.2 Networking and Security Today 5 1.3 NSX-T Architecture Value and Scope 5 2 NSX-T Architecture Components 11 2.1 Management Plane 11 2.2 Control Plane 12 2.3 Data Plane 12 3 NSX-T Logical Switching 13 3.1 The N-VDS 13 3.1.1 Uplink vs. pNIC 13 3.1.2 Teaming Policy 14 3.1.3 Uplink Profile 14 3.1.4 Transport Zones, Host Switch Name 16 3.2 Logical Switching 17 3.2.1 Overlay Backed Logical Switches 17 3.2.2 Flooded Traffic 18 3.2.2.1 Head-End Replication Mode 19 3.2.2.2 Two-tier Hierarchical Mode 19 3.2.3 Unicast Traffic 21 3.2.4 Data Plane Learning 22 3.2.5 Tables Maintained by the NSX-T Controller 23 3.2.5.1 MAC Address to TEP Tables 23 3.2.5.2 ARP Tables 23 3.2.6 Overlay Encapsulation 25 4 NSX-T Logical Routing 26 4.1 Logical Router Components 27 4.1.1 Distributed Router (DR) 27 4.1.2 Services Router 32 4.2 Two-Tier Routing 36 VMware NSX-T Reference Design Guide 2 4.2.1 Interface Types on Tier-1 and Tier-0 Logical Routers 37 4.2.2 Route Types on Tier-1 and Tier-0 Logical Routers 38 4.2.3 Fully Distributed Two Tier Routing 39 4.3 Edge Node 41 4.3.1 Bare Metal Edge 42 4.3.2 VM Form Factor 46 4.3.3 Edge Cluster 48 4.4 Routing Capabilities 49 4.4.1 Static Routing 49 4.4.2 Dynamic Routing 50 4.5 Services High Availability 53 4.5.1 Active/Active 53 4.5.2 Active/Standby 54 4.6 Other Network Services 56 4.6.1 Network Address Translation 56 4.6.2 DHCP Services 56 4.6.3 Metadata Proxy Service 57 4.6.4 Edge Firewall Service 57 4.7 Topology Consideration 57 4.7.1 Supported Topologies 57 4.7.2 Unsupported Topologies 59 5 NSX-T Security 60 5.1 NSX-T Security Use Cases 60 5.2 NSX-T DFW Architecture and Components 62 5.2.1 Management Plane 62 5.2.2 Control Plane 62 5.2.3 Data Plane 63 5.3 NSX-T Data Plane Implementation - ESXi vs. KVM Hosts 63 5.3.1 ESXi Hosts- Data Plane Components 64 5.3.2 KVM Hosts- Data Plane Components 64 5.3.3 NSX-T DFW Policy Lookup and Pa
VMware NSX 原理与实践----逻辑路由以及二层网络
10-07
前面的文章中已经从NSX的基本架构讲到了逻辑交换,讲了什么是逻辑交换机,什莫是组播,什么是单播,讲了很多很多。希望大家能时常去复习,今天给大家讲一讲逻辑路由,也就是我们平时所说的三层通信。
VMware NSX 网络虚拟化设计指南
06-29
VMware NSX 网络虚拟化设计指南 本文档面向想要部署 VMware® 网络虚拟化解决方案的虚拟化和网络架构师。
VMwareNSX概念与部署和简单使用流程通
07-22
教程名称:VMware NSX 概念与部署和简单使用流程通课程目录:【】Part01 - (图文)NSX系列之NSX概念与安装前准备【】Part02 - (图文)NSX系列之NSX试验环境准备与部署NSX Manager【】Part03 - (图文)NSX系列之注册NSX Manager到vCenter Server【】Part04 - (图文)NSX系列之 资源太大,传百度网盘了,链接在附件中,有需要的同学自取。
网络虚拟化NSX学习.docx
04-08
VMware NSX数据中心笔记整理。软件定义数据中心,SDDC,分布式路由器、分布式交换机、分布式防火墙、微粒度部署,控制平面和数据平面分离
VMware NSX 4.0安装、配置和升级实战
applmanwx的博客
03-30 5205
本文通过一个Vmware NSX 4的安装配置实例,扼要说明了一个典型的NSX系统配置、升级过程需要注意的正确步骤,并列出了作者在学习过程中踩过的坑,为同行绕过提供借鉴。
虚拟机防火墙
HESHIQI9927的博客
07-12 509
防火墙基本语法: firewall-cmd --state (功能描述:查看防火墙状态) Service firewalld restart 重启 Service firewalld start 开启 Service firewalld stop 关闭 永久关闭: systemctl stop firewalld.service停止 systemctl disable firewalld.service禁止开机启动 ...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值