หากคุณดูการกำหนดค่าของไฟร์วอลล์ใด ๆ เป็นไปได้มากที่เราจะเห็นแผ่นงานที่มีที่อยู่ IP พอร์ตโปรโตคอลและซับเน็ตจำนวนมาก นี่คือวิธีการใช้นโยบายความปลอดภัยเครือข่ายสำหรับการเข้าถึงทรัพยากรของผู้ใช้แบบคลาสสิก ในตอนแรกพวกเขาพยายามรักษาความสงบเรียบร้อยในการกำหนดค่า แต่จากนั้นพนักงานก็เริ่มย้ายจากแผนกหนึ่งไปยังอีกแผนก เซิร์ฟเวอร์เพิ่มจำนวนและเปลี่ยนบทบาท การเข้าถึงสำหรับโปรเจ็กต์ต่างๆ ปรากฏขึ้นในที่ที่ปกติไม่ได้รับอนุญาต และมีเส้นทางแพะที่ไม่รู้จักนับร้อยปรากฏขึ้น
ถัดจากกฎบางข้อ หากคุณโชคดี มีข้อความว่า "วาสยาขอให้ฉันทำสิ่งนี้" หรือ "นี่คือทางผ่านไปยัง DMZ" ผู้ดูแลระบบเครือข่ายออกจากการทำงาน และทุกอย่างก็ไม่มีความชัดเจนโดยสิ้นเชิง จากนั้นมีคนตัดสินใจล้างการกำหนดค่าของ Vasya และ SAP ก็ขัดข้อง เนื่องจากครั้งหนึ่ง Vasya เคยขอสิทธิ์เข้าถึงนี้เพื่อเรียกใช้การต่อสู้ SAP
วันนี้ผมจะพูดถึงโซลูชัน VMware NSX ซึ่งช่วยให้ปรับใช้นโยบายการสื่อสารเครือข่ายและความปลอดภัยได้อย่างแม่นยำ โดยไม่เกิดความสับสนในการกำหนดค่าไฟร์วอลล์ ฉันจะแสดงให้คุณเห็นว่ามีฟีเจอร์ใหม่อะไรบ้างเมื่อเทียบกับที่ VMware เคยมีในส่วนนี้
VMWare NSX คือแพลตฟอร์มเสมือนจริงและการรักษาความปลอดภัยสำหรับบริการเครือข่าย NSX แก้ปัญหาการกำหนดเส้นทาง การสลับ โหลดบาลานซ์ ไฟร์วอลล์ และสามารถทำสิ่งที่น่าสนใจอื่นๆ ได้อีกมากมาย
NSX เป็นผู้สืบทอดต่อจากผลิตภัณฑ์ vCloud Networking and Security (vCNS) ของ VMware และ Nicira NVP ที่ถูกซื้อกิจการ
จาก vCNS ถึง NSX
ก่อนหน้านี้ ไคลเอนต์มีเครื่องเสมือน vCNS vShield Edge แยกต่างหากในระบบคลาวด์ที่สร้างบน VMware vCloud มันทำหน้าที่เป็นเกตเวย์ชายแดน ซึ่งสามารถกำหนดค่าฟังก์ชันเครือข่ายได้หลายอย่าง: NAT, DHCP, ไฟร์วอลล์, VPN, โหลดบาลานเซอร์ ฯลฯ vShield Edge จำกัดการโต้ตอบของเครื่องเสมือนกับโลกภายนอกตามกฎที่ระบุไว้ใน ไฟร์วอลล์และ NAT ภายในเครือข่าย เครื่องเสมือนสื่อสารระหว่างกันอย่างอิสระภายในเครือข่ายย่อย หากคุณต้องการแบ่งและพิชิตการรับส่งข้อมูล คุณสามารถสร้างเครือข่ายแยกสำหรับแต่ละส่วนของแอปพลิเคชัน (เครื่องเสมือนที่แตกต่างกัน) และตั้งกฎที่เหมาะสมสำหรับการโต้ตอบเครือข่ายในไฟร์วอลล์ แต่นี่ใช้เวลานาน ยาก และไม่น่าสนใจ โดยเฉพาะอย่างยิ่งเมื่อคุณมีเครื่องเสมือนหลายสิบเครื่อง
ใน NSX นั้น VMware ได้นำแนวคิดของการแบ่งส่วนย่อยมาใช้โดยใช้ไฟร์วอลล์แบบกระจายที่สร้างไว้ในเคอร์เนลไฮเปอร์ไวเซอร์ โดยระบุนโยบายความปลอดภัยและการโต้ตอบของเครือข่ายไม่เพียงแต่สำหรับที่อยู่ IP และ MAC เท่านั้น แต่ยังรวมถึงวัตถุอื่นๆ ด้วย เช่น เครื่องเสมือน แอปพลิเคชัน หากมีการใช้งาน NSX ภายในองค์กร ออบเจ็กต์เหล่านี้อาจเป็นผู้ใช้หรือกลุ่มผู้ใช้จาก Active Directory แต่ละอ็อบเจ็กต์ดังกล่าวจะกลายเป็นไมโครเซกเมนต์ในลูปการรักษาความปลอดภัยของตัวเองในซับเน็ตที่ต้องการ พร้อมด้วย DMZ ที่สะดวกสบายของตัวเอง :)
ก่อนหน้านี้ กลุ่มทรัพยากรทั้งหมดมีขอบเขตการรักษาความปลอดภัยเพียงขอบเขตเดียว ซึ่งได้รับการปกป้องโดยสวิตช์เอดจ์ แต่ด้วย NSX คุณสามารถปกป้องเครื่องเสมือนที่แยกจากกันจากการโต้ตอบที่ไม่จำเป็น แม้ว่าจะอยู่ในเครือข่ายเดียวกันก็ตาม
นโยบายความปลอดภัยและเครือข่ายจะปรับเปลี่ยนหากเอนทิตีย้ายไปยังเครือข่ายอื่น ตัวอย่างเช่น หากเราย้ายเครื่องที่มีฐานข้อมูลไปยังส่วนเครือข่ายอื่น หรือแม้แต่ไปยังศูนย์ข้อมูลเสมือนอื่นที่เชื่อมต่อ กฎที่เขียนขึ้นสำหรับเครื่องเสมือนนี้จะยังคงมีผลใช้ต่อไปโดยไม่คำนึงถึงตำแหน่งใหม่ แอปพลิเคชันเซิร์ฟเวอร์จะยังคงสามารถสื่อสารกับฐานข้อมูลได้
Edge Gateway นั้น vCNS vShield Edge ถูกแทนที่ด้วย NSX Edge มันมีคุณสมบัติสุภาพบุรุษทั้งหมดของ Edge รุ่นเก่า รวมถึงคุณสมบัติที่มีประโยชน์ใหม่บางประการ เราจะพูดถึงพวกเขาเพิ่มเติม
มีอะไรใหม่ใน NSX Edge?
ขึ้นอยู่กับฟังก์ชันการทำงานของ NSX Edge
ไฟร์วอลล์ คุณสามารถเลือกที่อยู่ IP เครือข่าย อินเทอร์เฟซเกตเวย์ และเครื่องเสมือนเป็นออบเจ็กต์ที่จะใช้กฎได้
ดีเอชซีพี นอกเหนือจากการกำหนดค่าช่วงของที่อยู่ IP ที่จะออกให้กับเครื่องเสมือนบนเครือข่ายนี้โดยอัตโนมัติแล้ว ตอนนี้ NSX Edge ยังมีฟังก์ชั่นดังต่อไปนี้: ผูกพัน и ถ่ายทอด.
ในแท็บ ผูก คุณสามารถผูกที่อยู่ MAC ของเครื่องเสมือนกับที่อยู่ IP ได้ หากคุณไม่ต้องการให้เปลี่ยนที่อยู่ IP สิ่งสำคัญคือที่อยู่ IP นี้ไม่รวมอยู่ในพูล DHCP
ในแท็บ ถ่ายทอด การส่งต่อข้อความ DHCP ได้รับการกำหนดค่าไปยังเซิร์ฟเวอร์ DHCP ที่อยู่ภายนอกองค์กรของคุณใน vCloud Director รวมถึงเซิร์ฟเวอร์ DHCP ของโครงสร้างพื้นฐานทางกายภาพ
การกำหนดเส้นทาง vShield Edge สามารถกำหนดค่าการกำหนดเส้นทางแบบคงที่เท่านั้น การกำหนดเส้นทางแบบไดนามิกพร้อมรองรับโปรโตคอล OSPF และ BGP ปรากฏที่นี่ การตั้งค่า ECMP (Active-active) ก็มีให้ใช้งานแล้วเช่นกัน ซึ่งหมายถึงการเฟลโอเวอร์แบบ Active-Active ไปยังเราเตอร์ทางกายภาพ
การตั้งค่า OSPF
การตั้งค่า BGP
สิ่งใหม่อีกอย่างคือการตั้งค่าการถ่ายโอนเส้นทางระหว่างโปรโตคอลที่แตกต่างกัน
การกระจายเส้นทาง
โหลดบาลานเซอร์ L4/L7 X-Forwarded-For เปิดตัวสำหรับส่วนหัว HTTPs ทุกคนร้องไห้โดยไม่มีเขา ตัวอย่างเช่น คุณมีเว็บไซต์ที่คุณกำลังสร้างสมดุล ทุกอย่างใช้งานได้โดยไม่ต้องส่งต่อส่วนหัวนี้ แต่ในสถิติของเว็บเซิร์ฟเวอร์ คุณไม่เห็น IP ของผู้เยี่ยมชม แต่เป็น IP ของบาลานเซอร์ ตอนนี้ทุกอย่างถูกต้อง
นอกจากนี้ในแท็บกฎของแอปพลิเคชัน คุณสามารถเพิ่มสคริปต์ที่จะควบคุมสมดุลการรับส่งข้อมูลโดยตรงได้แล้ว
VPN นอกจาก IPSec VPN แล้ว NSX Edge ยังรองรับ:
- L2 VPN ซึ่งช่วยให้คุณสามารถขยายเครือข่ายระหว่างไซต์ที่กระจัดกระจายทางภูมิศาสตร์ ตัวอย่างเช่น จำเป็นต้องใช้ VPN เพื่อที่ว่าเมื่อย้ายไปยังไซต์อื่น เครื่องเสมือนจะยังคงอยู่ในเครือข่ายย่อยเดียวกันและรักษาที่อยู่ IP ไว้
- SSL VPN Plus ซึ่งช่วยให้ผู้ใช้สามารถเชื่อมต่อกับเครือข่ายองค์กรจากระยะไกล ในระดับ vSphere มีฟังก์ชันดังกล่าว แต่สำหรับ vCloud Director นี่คือนวัตกรรม
ใบรับรอง SSL สามารถติดตั้งใบรับรองบน NSX Edge ได้แล้ว นี่เป็นคำถามอีกครั้งว่าใครต้องการบาลานเซอร์ที่ไม่มีใบรับรองสำหรับ https
การจัดกลุ่มวัตถุ ในแท็บนี้ กลุ่มของออบเจ็กต์จะถูกระบุสำหรับกฎการโต้ตอบเครือข่ายบางอย่างที่จะนำไปใช้ เช่น กฎไฟร์วอลล์
ออบเจ็กต์เหล่านี้อาจเป็นที่อยู่ IP และ MAC
นอกจากนี้ยังมีรายการบริการ (การรวมโปรโตคอล - พอร์ต) และแอปพลิเคชันที่สามารถใช้เมื่อสร้างกฎไฟร์วอลล์ มีเพียงผู้ดูแลระบบพอร์ทัล vCD เท่านั้นที่สามารถเพิ่มบริการและแอปพลิเคชันใหม่ได้
สถิติ. สถิติการเชื่อมต่อ: การรับส่งข้อมูลที่ผ่านเกตเวย์ ไฟร์วอลล์ และบาลานเซอร์
สถานะและสถิติสำหรับช่องสัญญาณ IPSEC VPN และ L2 VPN แต่ละรายการ
การบันทึก ในแท็บการตั้งค่า Edge คุณสามารถตั้งค่าเซิร์ฟเวอร์สำหรับการบันทึกบันทึกได้ การบันทึกใช้งานได้กับ DNAT/SNAT, DHCP, ไฟร์วอลล์, การกำหนดเส้นทาง, บาลานเซอร์, IPsec VPN, SSL VPN Plus
การแจ้งเตือนประเภทต่อไปนี้พร้อมใช้งานสำหรับแต่ละออบเจ็กต์/บริการ:
—แก้ไขจุดบกพร่อง
-เตือน
-วิกฤต
- ข้อผิดพลาด
- คำเตือน
- สังเกต
— ข้อมูล
ขนาดขอบ NSX
ขึ้นอยู่กับงานที่ได้รับการแก้ไขและปริมาณของ VMware
เอ็นเอสเอ็กซ์ เอดจ์
(กะทัดรัด)
เอ็นเอสเอ็กซ์ เอดจ์
(ใหญ่)
เอ็นเอสเอ็กซ์ เอดจ์
(ควอด-ใหญ่)
เอ็นเอสเอ็กซ์ เอดจ์
(X-ใหญ่)
ซีพียู
1
2
4
6
หน่วยความจำ
512MB
1GB
1GB
8GB
ดิสก์
512MB
512MB
512MB
4.5GB + 4GB
การแต่งตั้ง
สิ่งหนึ่งที่
การประยุกต์ใช้การทดสอบ
ศูนย์ข้อมูล
เล็ก
หรือค่าเฉลี่ย
ศูนย์ข้อมูล
โหลดแล้ว
ไฟร์วอลล์
Balancing
โหลดที่ระดับ L7
ด้านล่างในตารางคือตัวชี้วัดการทำงานของบริการเครือข่าย ขึ้นอยู่กับขนาดของ NSX Edge
เอ็นเอสเอ็กซ์ เอดจ์
(กะทัดรัด)
เอ็นเอสเอ็กซ์ เอดจ์
(ใหญ่)
เอ็นเอสเอ็กซ์ เอดจ์
(ควอด-ใหญ่)
เอ็นเอสเอ็กซ์ เอดจ์
(X-ใหญ่)
อินเตอร์เฟซ
10
10
10
10
อินเทอร์เฟซย่อย (ลำตัว)
200
200
200
200
กฎ NAT
2,048
4,096
4,096
8,192
รายการ ARP
จนกระทั่งเขียนทับ
1,024
2,048
2,048
2,048
กฎ FW
2000
2000
2000
2000
ประสิทธิภาพของเอฟดับเบิลยู
3Gbps
9.7Gbps
9.7Gbps
9.7Gbps
พูล DHCP
20,000
20,000
20,000
20,000
เส้นทาง ECMP
8
8
8
8
เส้นทางคงที่
2,048
2,048
2,048
2,048
สระน้ำแอลบี
64
64
64
1,024
เซิร์ฟเวอร์เสมือน LB
64
64
64
1,024
เซิร์ฟเวอร์ LB/พูล
32
32
32
32
การตรวจสุขภาพ LB
320
320
320
3,072
กฎการสมัคร LB
4,096
4,096
4,096
4,096
ศูนย์กลางลูกค้า L2VPN ที่จะพูด
5
5
5
5
เครือข่าย L2VPN ต่อไคลเอนต์/เซิร์ฟเวอร์
200
200
200
200
อุโมงค์ IPSec
512
1,600
4,096
6,000
อุโมงค์ SSLVPN
50
100
100
1,000
เครือข่ายส่วนตัว SSLVPN
16
16
16
16
เซสชันพร้อมกัน
64,000
1,000,000
1,000,000
1,000,000
เซสชัน/วินาที
8,000
50,000
50,000
50,000
พร็อกซี L7 ปริมาณงาน LB)
2.2Gbps
2.2Gbps
3Gbps
โหมดปริมาณงาน LB L4)
6Gbps
6Gbps
6Gbps
การเชื่อมต่อ LB/s (พร็อกซี L7)
46,000
50,000
50,000
การเชื่อมต่อ LB พร้อมกัน (พร็อกซี L7)
8,000
60,000
60,000
การเชื่อมต่อ LB/s (โหมด L4)
50,000
50,000
50,000
การเชื่อมต่อ LB พร้อมกัน (โหมด L4)
600,000
1,000,000
1,000,000
เส้นทางบีจีพี
20,000
50,000
250,000
250,000
เพื่อนบ้านบีจีพี
10
20
100
100
แจกจ่ายเส้นทาง BGP แล้ว
ไม่มีขีด จำกัด
ไม่มีขีด จำกัด
ไม่มีขีด จำกัด
ไม่มีขีด จำกัด
เส้นทาง OSPF
20,000
50,000
100,000
100,000
รายการ OSPF LSA สูงสุด 750 ประเภท-1
20,000
50,000
100,000
100,000
OSPF ที่อยู่ติดกัน
10
20
40
40
เส้นทาง OSPF ถูกแจกจ่ายซ้ำแล้ว
2000
5000
20,000
20,000
เส้นทางทั้งหมด
20,000
50,000
250,000
250,000
→
ตารางแสดงให้เห็นว่าขอแนะนำให้จัดระเบียบสมดุลบน NSX Edge สำหรับสถานการณ์การผลิตโดยเริ่มจากขนาดใหญ่เท่านั้น
นั่นคือทั้งหมดที่ฉันมีสำหรับวันนี้ ในส่วนต่อไปนี้ ฉันจะอธิบายรายละเอียดวิธีกำหนดค่าบริการเครือข่าย NSX Edge แต่ละรายการโดยละเอียด
ที่มา: will.com