规则韩国虚拟主机

vShieldZones简介vShieldZones1.
0CN-000188-00VMware,Inc.
3401HillviewAve.
PaloAlto,CA94304www.
vmware.
com2VMware,Inc.
vShieldZones简介您可以在VMware网站上找到最新的技术文档,网址为:http://www.
vmware.
com/cn/support/VMware网站还提供最新的产品更新.
如果对本文档有任何意见或建议,请将反馈信息提交至以下地址:docfeedback@vmware.
com2009VMware,Inc.
保留所有权利.
此产品受到美国和国际版权法及知识产权法保护.
VMware产品涉及http://www.
vmware.
com/go/patents中列出的一项或多项专利.
VMware、VMware"箱状"徵标及设计、VirtualSMP和VMotion均为VMware,Inc.
在美国和/或其他法律辖区的注册商标或商标.
此处提到的所有其他商标和名称分别是其各自公司的商标.
VMware,Inc.
3目录关于本文档5vShieldZones简介7vShieldZones组件7vShieldManager7vShield8主要功能9防火墙保护9默认规则9第4层规则和第2层/第3层规则9VMWall规则的层次结构9规划VMWall规则实施9流量分析10虚拟机发现10部署方案10保护DMZ11隔离VLAN11对VMwareView用户进行分段11更多内容11vShieldZones简介4VMware,Inc.
VMware,Inc.
5本手册(《vShieldZones简介》)提供有关VMwarevShieldZones的特性和功能的信息.
目标读者本手册是为需要熟悉vShieldZones的组件和功能的人设计的.
本手册的目标读者为熟悉虚拟机技术和数据中心操作且具丰富经验的Windows或Linux系统管理员.
文档反馈VMware欢迎您提出宝贵建议,以便改进我们的文档.
如有任何意见或建议,请将反馈发送到docfeedback@vmware.
com.
vShieldZones文档vShieldZones文档集包括下列文档:《vShieldZones管理指南》《vShieldZones快速入门指南》《vShieldZones简介》技术支持和教育资源下面各节介绍为您提供的技术支持资源.
要访问本文档的当前版本和其他文档,请访问http://www.
vmware.
com/cn/support/pubs.
在线支持和电话支持要通过在线支持提交技术支持请求、查看产品和合同信息以及注册您的产品,请访问http://www.
vmware.
com/cn/support.
客户只要拥有相应的支持合同,就可以通过电话支持,尽快获得对优先级高的问题的答复.
请访问http://www.
vmware.
com/cn/support/phone_support.
支持服务项目要了解VMware支持服务如何帮助您满足业务需求,请访问http://www.
vmware.
com/cn/support/services.
VMware专业服务VMware教育服务课程提供了大量实践操作环境、案例研究示例,以及用作作业参考工具的课程材料.
这些课程可以通过现场指导、教室授课的方式学习,也可以通过在线直播的方式学习.
关于现场试点项目及实施的最佳实践,VMware咨询服务可提供多种服务,协助您评估、计划、构建和管理虚拟环境.
要了解有关教育课程、认证计划和咨询服务的信息,请访问http://www.
vmware.
com/cn/services.
关于本文档vShieldZones简介6VMware,Inc.
VMware,Inc.
7vShieldZones是专为VMwarevCenterServer集成而构建的可感知应用程序的防火墙.
vShieldZones是保护虚拟化数据中心免遭攻击和误用的关键安全组件,可帮助您实现合规性所要求的目标.

本章包含下列主题:"vShieldZones组件"(第7页)"主要功能"(第9页)"部署方案"(第10页)"更多内容"(第11页)vShieldZones组件vShieldZones中包含对分析流量和保护虚拟机必不可少的组件和服务.
可通过基于Web的用户界面和命令行界面(CLI)配置vShieldZones.
vShieldZones组件被打包为开放虚拟化格式(OVF)的文件.
要运行vShieldZones,需要使用一个vShieldManagerOVF文件和一个vShieldOVF文件.
vShieldManagervShieldManager是vShieldZones的集中式网络管理组件,可作为虚拟机安装在vCenterServer环境中的任何ESX主机上.
vShieldManager可在与vShield实例不同的ESX主机上运行.
您可以使用Web浏览器访问vShieldManager用户界面.
通过该用户界面,管理员可安装、配置和维护整个vShieldZones部署.
vShieldManager用户界面利用VMwareInfrastructureSDK显示vSphereClient清单面板的副本.
该界面包括[Hosts&Clusters]和[Networks]视图.
您可以使用支持的下列Web浏览器之一连接到vShieldManager用户界面:InternetExplorer5.
x及更高版本MozillaFirefox1.
x及更高版本Safari1.
x或2.
xvShieldZones简介vShieldZones简介8VMware,Inc.
vShieldvShield是vShieldZones的活动安全组件.
每个vShield实例提供可感知应用程序的流量分析和基于状态检测的防火墙保护,其方法是检查网络流量并基于一组规则确定访问方式.
vShield基于信任区域控制流量,将流量分为不受保护区域和受保护区域.
受vShield保护的虚拟机位于受保护区域中.
传至受保护的虚拟机的所有流量从不受保护区域进入.
使用vSphereClient,您可以将vShieldOVF文件作为模板或虚拟机安装.
将软件包安装到vSphereClient后,使用vShieldManager完成安装.
如果将vShield软件包作为模板安装,则您可以从vShieldManager中引用该模板将多个vShield实例作为虚拟机安装到vCenterServer环境.
可在承载物理NIC的任何vSwitch上安装vShield实例.
由于一台ESX主机可包含多个物理NIC,因此您可以在单台ESX主机上安装多个vShield实例.
当从引用的模板安装时,vShield安装过程执行下列步骤:1创建vSwitch主机的副本.
此vSwitch副本不包含NIC.
vSwitch副本的名称由vSwitch主机的名称加_VS构成:vSwitch1_VS.
2创建一个受保护区域端口组VSprot_vShield-name,将此端口组附加到vSwitch主机.
3在vShield实例的管理界面的vSwitch主机上创建一个管理端口组VSmgmt_vShield-name.
4创建一个不受保护区域端口组VSunprot_vShield-name,将此端口组附加到vSwitch副本.
5连接并启动vShield实例.
6将vShield上的虚拟接口分别附加到不受保护和受保护的端口组.
7将虚拟机从vSwitch主机移动到vSwitch副本.
如果vShieldManager虚拟机驻留在同一vSwitch中,则不移动该虚拟机.
在vShieldManager安装期间,您创建了一个名为vsmgmt的端口组,用于存放vShieldManager.
vShield安装可识别此端口组名称并忽略此端口组中的任何虚拟机.
图1.
在vSwitch上安装vShield安装的每个vShield实例将监视vSwitch主机上的所有入站和出站流量,其中包括vSwitch主机和vSwitch副本上的虚拟机之间的流量.
当流量通过vShield时,将检查各个会话标头以对数据进行分类.
对于每个虚拟机,将分别创建一个配置文件,详细说明其操作系统、应用程序和网络通信中使用的端口.
基于此信息,vShield允许使用临时端口,方法是在保持端口1024及更高编号的端口处于锁定状态的同时,允许FTP和RPC这样的动态协议通过.
根据设计,各个vShield实例最多允许同时进行40,000个会话.
无法使用vShield保护服务控制台或VMkernel,因为这些组件不是虚拟机.
ESXVMkernelvShieldvSwitch0vSwitch1vSwitch1_VSVMware,Inc.
9vShieldZones简介主要功能vShieldZones提供了一套丰富的功能,旨在提供有关出入虚拟机的流量的信息并保护虚拟数据中心中的虚拟机.
防火墙保护vShieldZones通过在所有部署的vShield实例中实施全局和本地访问控制策略提供防火墙保护.
vShieldZones允许您根据常规流量方向、应用程序协议和端口、特定的源到目标参数来构建防火墙规则.

在vShieldManager用户界面中,[VMWall]选项卡显示vShieldZones的防火墙功能.
VMWall是集中式、层次结构访问控制列表.
您可以在数据中心和群集级别上管理VMWall访问规则,从而对这些容器中的多个vShield实例提供一致的一组规则.
由于这些容器中的虚拟机成员资格可以动态更改,因此vShieldZones将保持现有会话的状态,而不要求重新配置访问规则.
默认规则默认情况下,VMWall实施一组用于允许流量通过所有vShield实例的规则.
这些规则显示在VMWall表的[DefaultRules]部分.
无法删除或添加默认规则.
但是,您可以将各个规则的操作元素从[Allow]更改为[Deny].
第4层规则和第2层/第3层规则[VMWall]选项卡提供了以下两组可配置规则:L4(第4层)规则和L2/L3(第2层/第3层)规则.
这些层指的是开放系统互连(OSI)参考模型的层.
第4层规则管理第7层的TCP和UDP传输,即特定于应用程序的流量.
您与VMWall规则的大部分交互都集中在管理第4层规则上.
第2层/第3层规则监视ICMP、ARP和其他第2层和第3层协议中的流量.
默认情况下,控制第2层和第3层的VMWall规则允许通过所有流量.
仅在数据中心级别下实施第2层/第3层规则.
VMWall规则的层次结构每个vShield实例按照从上到下的顺序实施VMWall规则.
对于每个流量会话,vShield首先依据VMWall表中的顶层规则进行检查,然后逐步下移到表中的后续规则.
表中第一个与流量参数匹配的规则将被实施.

VMWall提供容器级优先和自定义优先顺序两种配置:容器级优先是指认为数据中心级别具有高于群集级别的优先级.
配置数据中心级别的规则后,所有群集及其vShield实例都将继承此规则.
群集级别规则仅适用于群集内的vShield实例.
自定义优先顺序是指为在数据中心级别创建的规则指定高优先级或低优先级.
数据中心高优先规则与容器级优先规则的工作方式相同.
数据中心低优先规则的优先级低于群集级别规则,而高于预配置的默认规则.
这种灵活性使您可以识别应用了优先顺序的多个层.
在VMWall表中,根据以下层次结构实施规则:1数据中心高优先规则:在数据中心级别创建的优先级最高的一组全局访问规则.

2群集级别规则:优先级低于数据中心高优先规则的一组特定于群集的访问规则.

3数据中心低优先规则:在数据中心级别创建的一组优先级低于群集级别规则的全局访问规则.

4默认规则:优先级最低的一组默认全局访问规则.
作为总的原则,请确保低优先规则与高优先规则不冲突.
规划VMWall规则实施使用VMWall,您可以根据网络策略配置允许和拒绝规则.
下列策略表示常用的VMWall配置:保留默认规则以允许所有流量,并根据流量统计信息或手动配置在数据中心级别和群集级别上添加拒绝规则.
在此方案中,如果会话不符合任何自定义拒绝规则,则vShield允许流量通过.
可将默认规则的操作状态从允许更改为拒绝,并为特定系统和应用程序添加数据中心级别和群集级别的允许规则.
在此方案中,如果会话不符合任何自定义允许规则,则vShield会在会话到达目标之前丢弃会话.
如果您在未创建允许规则的情况下将所有默认规则更改为拒绝所有流量,则vShield会丢弃所有入站和出站流量.
vShieldZones简介10VMware,Inc.
流量分析vShield检查每个通过的数据包标头来收集有关出入虚拟机的每个会话的信息.
会话详细信息包括源、目标、方向和请求的服务.
所有部署的vShield实例收集的流量数据都汇总在vShieldManager用户界面中.
在vShieldManager中,[VMFlow]选项卡提供流量分析数据.
这些数据中包括会话数以及传输的数据包数和字节数.
VMFlow是一种有用的取证工具,可以检测恶意服务、检查入站和出站会话、创建VMWall访问规则.
流量数据还可用于网络故障排除,例如检测服务或客户端的流量高低.

[VMFlow]选项卡显示数据中心或群集容器内的所有活动vShield实例返回的吞吐量统计信息,或单个虚拟机级别的单一vShield实例返回的吞吐量统计信息.
VMFlow根据客户端-服务器通信中使用的应用程序协议,将统计信息组织在三个图表中显示.
图表中的每一种颜色代表一种不同的应用程序协议.
使用这种图表方法,您可以跟踪各个应用程序的服务器资源.
默认情况下,VMFlow显示最近七天内所有检查过的数据流的流量统计信息.
VMFlow提供每个会话的流量数据综合报告.
您可以通过报告数据深入查看特定一对源和目标的统计信息.

根据这些数据,您可以创建详细的VMWall允许和拒绝规则.
虚拟机发现在安装之后,每个vShield都会检查所有通过的网络流量,从而构建每个虚拟机上操作系统、应用程序和开放端口的清单.
此检查过程称为发现.
vShieldManager在[VMInventory]选项卡下显示发现的虚拟机清单.
如果vShield发现了向不受保护的虚拟机传送的流量,该虚拟机会在vShieldManager用户界面的[inventory]面板中突出显示为红色.
这使您能够快速标识易受到攻击的服务器,并使用新的或现有vShield保护它们.
被发现过程标识为不受保护的每台虚拟机在vShieldManager用户界面的清单面板中显示为红色.
这使您能够标识和保护所有虚拟机.
vShield发现操作还可用于扫描虚拟机,标识可能存在安全风险的开放应用程序.