vsphere 之 vshield

hhajhh

　　vshield是vsphere的安全组件，包括vshield manager （vshield统一管理组件），vshield Edge（数据中心边界防火墙）、vshield App（主机应用层防火墙），vshield Endpoint（无代理杀毒组件），vshield DataSecurity（数据保护组件）等强大的组件。
　　
　　vshield manager：
　　一、安装，
　　1、获取到vshield manager 的VOF文件，然后在vcenter中部署VOF模版。部署完成后，vshield manager就安装完毕。
　　2、安装完毕后，在vcenter上进入vshield manager的控制台界面，默认用户名 admin 密码 default
3、进入特权模式 enable ，输入密码default
　　4、设置网络，输入setup 设置ip、DNS等。配置完毕，请确认配置的ip唯一且可访问。、
　　5、打开浏览器，输入vshield management IP，输入用户名密码登陆。
　　6、在setting&reports中的general添加vcenter IP 及 填写其他表项。之后，重新打开vcenter后，在vclient上各个节点的表项中会多了vshield选项，至此，vshield manager安装完毕。

　　
　　vshield app
　　（vshield app 的app firewall 是有状态的防火墙，可以进行应用识别，策略可细化到协议端口（应用层）。）
　　一、安装
　　1、选中主机，在vshield表项中选install vshield app（如果主机是在DRS集群中时，需考虑禁用HA集群的接入控制，因为安装 app会安装一个ovf的虚拟机（vShield-FW-主机名，每台主机都会安装一个），会导致集群资源不足而阻止虚拟机开启）。（每一台主机都需要安装一个vshield app）
　　2、安装完毕后，进入vshield manager 的web管理界面，配置vshield app。主要配置两项，1是配置安全模式，为了在app出现故障时保证流量阻塞或畅通，allow模式为app挂掉后，所有流量均允许通过。 2是配置排除列表，为了排除掉不需要流量控制的虚拟机，例如部署vcenter的虚拟机，可以将其放置于此列表，以防止监控流量被阻止。（不要将所有的生产虚拟机放置于此列表，如果全部放置于此列表，vshield APP的防火墙功能将失效，流量将全部允许通过。

　　二、防火墙策略设置
　　1、打开vclient，选中清单中的主机及集群，选中数据中心，在右边的表项中选中vshield表项，然后选app firewall，app firewall里的策略面板分general（第三层策略—）及ethernet（第二层策略），每一个面板里面都有许多策略控制选项，包括源、目的、服务（端口）、动作等等，可自定义各种服务及端口，非常灵活。

　　2、app firewall 流量模型
　　app firewall 不仅能够控制进出主机的流量，也可以控制同一主机中不同虚拟机之间的流量，是因为所有的流量，会先通过一个vshield Firewall 的虚拟，经过此虚拟机进行流量控制。模型如下：

　　
　　测试app firewall 能否控制同一主机中不同虚拟机之间的流量：
　　1、将虚拟机迁移至同一主机：

　　如图，ubuntu与vMA已经在同一主机当中。
　　
　　2、做策略，控制ubuntu为源，不允许ping vMA的接口地址。

　　如图所示，策略publish后，本来ping是能通的，现在流量被app firewall  block掉了。
　　
　　vShield Edge
　　一、安装：在 Edge Appliances 中，单击 Add 图标，配置相关参数即可添加Edge设备，一般需要采用HA模式安装，
　　确认安装后，集群下会部署两个虚拟机叫vshield edge-0、vshield edge-1，通过观察网络拓扑后，发现其中vshield edge-0的网卡接入的网络就是其vNIC关联的网络，vshield edge示意图如下：

　　
　　二、vshield ege function
　　2.1、function for nat:

　　vshield edge 的nat功能可将内部网络地址映射到一个或一组公共外部地址 从而安全访问外部不安全网络或者被外部网络所访问。
　　SNAT：添加SNAT规则，可以创建源NAT (SNAT) 规则将专用内部IP 地址转换为公共IP 地址以用于出站流量。（前提条件：转换后的（公共）IP 地址必须已添加到您要在其上添加规则的vShield Edge 接口。）
　　

　　
　　
　　DNAT：添加SNAT规则，可创建目标(DNAT) 规则将公共IP 地址映射到专用的内部IP 地址。（用于外部访问内部用户的IP映射（前提条件：原始（公共）IP 地址必须已添加到您要在其上添加规则的vShield Edge 接口（可在vShield edge接口上配置多个子ip用于外部对内部的ip映射。）

　　
　　DNAT应用：（内部用户A的ip地址 10.0.8.205 ，外部ip地址 19.18.8.251，现需要外部用户19.18.8.206通过访问外部地址来远程访问内部用户A，即外部地址19.18.8.251映射到10.0.8.205上。
　　2.1.1、添加外部地址19.18.8.251
　　

　　
　　2.1.2、添加DNAT记录

　　
　　2.13，远程：
　　
　　
　　2.2 function for firewall:
　　

　　

　　
　　待续...
　　
　　-CM- 原创作品，转载请注明，谢谢！
         版权声明：本文为博主原创文章，未经博主允许不得转载。