事实上,Windows的“远程桌面”功能就是这项技术的前身。该功能允许用户登录其他用户的桌面进行远程控制,并登录后台Windows服务器执行配置和维护任务。 不过,Windows 中此功能的一个主要限制是无法为虚拟桌面设置模板,因此每台PC 的屏幕分辨率和刷新率都会与服务器的屏幕分辨率和刷新率不同。因此,远程桌面可能看起来不如本地桌面清晰,图像可能不稳定,鼠标可能无法正常工作,字体和图形可能没有最佳尺寸。
因此,您只能使用远程桌面短时间登录同事的电脑或维护后端服务器,而不能长期使用。 为了解决远程桌面问题,Citrix和VMware各自开发了自己的VDI系统。对于桌面,您可以使用模板和副本等功能快速部署和回滚。关于图像显示问题,两家公司各自使用了自己的协议来解决这个问题。 Citrix 受早期医学成像技术的启发,开发了专有的HDX 协议。拍完X光片后,需要按照协议将胶片发送到医生面前的终端设备上进行病理分析。 Citrix 的HDX 协议利用这一点,将后端服务器的桌面通过网络完全投影到平板设备或个人PC 的屏幕上。 VMware使用的PCoIP协议,顾名思义,是通过IP运行的PC镜像,来自于VMware收购的加拿大科技公司Teradici。 该公司最初立足于高端图形设计,为对图形质量有高要求的动画和医疗保健行业提供解决方案。 PCoIP协议实现原理与HDX类似,但对网络延迟、抖动、屏幕分辨率的支持比HDX更好。
然而,桌面虚拟化的引入在拥有数百或数千个桌面的数据中心的防火墙后面引入了新的安全风险。由于它们靠近其他用户和关键工作负载,这些桌面现在比以往任何时候都更容易受到恶意软件和其他攻击。此外,这些攻击很容易从桌面迁移到服务器,从而暴露了数据中心内巨大的攻击面。这是因为虚拟桌面和企业应用服务器通过虚拟化集中在数据中心。这种东西向流量威胁场景对于当今的许多客户来说很常见,尤其是那些具有严格安全和合规性要求的客户。如图6.20所示,这个巨大的攻击面区域被圈起来。
此外,使用虚拟桌面意味着多个虚拟机位于同一网段内。这些同一网段的虚拟机是同一业务部门员工使用的虚拟桌面。此前,防火墙无法实现二层安全防护,其安全策略必须利用二层交换机的部分安全特性来实现。然而,在虚拟化环境中,交换机通常配置为连接到服务器。它用作Trunk接口而不是Access接口,这会妨碍您配置细粒度的安全策略。 此外,许多企业正在寻找能够持续跟踪用户和工作负载的网络连接和安全策略。这是允许员工使用平板电脑、手机以及非公司购买的电脑连接虚拟桌面所带来的变化。 企业还需要精细的安全策略来实施BYOD 安全。
NSX分布式防火墙解决了VMware VDI安全性不足的问题。 此外,我们还利用Citrix 的VDI 解决方案解决了安全问题。有效保护数据中心内的东西向流量,同时允许IT 管理员快速轻松地管理跨基础设施、设备和位置动态跟踪最终用户虚拟桌面和应用程序的网络连接和安全策略。 该解决方案称为VMware NSX for VDI。如图6.21 所示,该解决方案使企业能够受益于快速、简单的VDI 网络连接和安全性。 IT 管理员可以在几秒钟内创建虚拟桌面动态遵循的策略,从而无需进行耗时的网络配置。该解决方案还提供了一个可扩展平台,通过将安全策略从数据中心扩展到桌面和应用程序,与VMware 业界领先的安全合作伙伴生态系统集成,为客户提供分层防御,保护他们提供给您的整个桌面。
VMware NSX for VDI 允许管理员集中定义策略,从而增强桌面虚拟化的安全性并解决东西向流量中的威胁。该策略分布在每个vSphere 主机内的虚拟机管理程序中,并在创建每个虚拟桌面时自动添加到该虚拟桌面中。为了保护数据中心内的虚拟桌面和相邻工作负载,VMware NSX 使用微分段技术以非常细的粒度为每个桌面提供自己的外围防御。 VMware NSX 分布式防火墙功能可监控进出每个虚拟机的流量,并消除桌面和相邻工作负载之间未经授权的访问。当虚拟桌面在主机之间或数据中心内移动时,策略也会自动移动。
VMware NSX for VDI 允许管理员只需单击几下即可跨所有虚拟桌面创建、修改和管理安全策略。您还可以快速将安全策略映射到用户组,以加快虚拟桌面的启动速度。 NSX 网络虚拟化平台使管理员能够部署虚拟化网络功能(例如交换、路由、防火墙和负载平衡),而无需使用复杂的物理网络配置策略(例如VLAN 和ACL)即可构建VDI 虚拟网络。
管理员可以为最终用户计算环境设置动态策略,根据将用户映射到网络安全服务、逻辑组、桌面操作系统等来匹配角色,而不管底层网络基础设施如何。集中管理的策略在创建时会自动加载到每个桌面虚拟机上,从而使企业还可以在虚拟桌面在数据中心之间移动时扩展安全功能。 VMware NSX 提供了一个可扩展的平台,还可以与第三方安全合作伙伴系统的更高级功能集成,允许您动态添加这些第三方安全服务,以增强虚拟桌面的安全功能,从您的数据中心扩展到其他地方。您的桌面和应用程序。这些安全合作伙伴包括趋势科技、英特尔安全、Palo Alto 等,提供防病毒、反恶意软件、入侵防御和下一代安全服务等解决方案,以保护操作系统、浏览器、电子邮件等。 总之,通过NSX网络虚拟化,可以灵活创建网络资源池和逻辑隔离区,支持动态扩展和管理。 NSX 中的微分段可以解决传统VDI 架构的安全问题,让您可以实现三个方面的病毒防护和访问控制: 虚拟桌面之间的访问控制。
控制虚拟桌面对后台应用程序的访问。 虚拟桌面防病毒、恶意软件等。 此外,NSX Edge 服务网关的防火墙和负载平衡功能可与支持VDI 的基础架构一起使用。因此,NSX网络虚拟化平台不仅是支持各种企业应用的绝佳平台,也是企业部署VDI的绝佳基础设施平台。
6.2.7 利用 NSX Edge 实现防火墙功能
在NSX 网络虚拟化平台中,除了部署分布式防火墙之外,您还可以使用NSX Edge 部署防火墙服务。如前所述,NSX 分布式防火墙主要处理东西向流量,但NSX Edge 充当物理网络和虚拟网络之间的接口,自然会使用部署在其之上的防火墙服务来处理南北向流量。与NSX 分布式防火墙类似,通过NSX Edge 部署的防火墙也可以提供端到端的安全保护。在数据中心内,您可以单独部署NSX 分布式防火墙或单独部署NSX Edge 防火墙,并且两种类型的防火墙可以同时使用,为东西向和南北向流量提供安全保护。
当然,考虑到不同行业和客户的情况不同,具体问题还需要具体分析。 如前所述,NSX 分布式防火墙可以保护虚拟机,无论虚拟机如何连接到逻辑网络。 NSX Edge 防火墙主要保护虚拟机与物理服务器或其他物理设备(例如NAS)之间的流量。通过NSX Edge 部署的防火墙支持所有NSX Edge 功能,包括动态路由和线速转发流量。
这样,即使边缘防火墙串联在物理网络和虚拟网络之间,转发性能也不会受到影响。路由服务由与NSX Edge 相同的设备提供,并且没有其他虚拟网络。或者绕过流量的物理设备可能会导致带宽瓶颈。 NSX Edge 防火墙还支持NSX Edge HA 和ECMP 部署模式。与NSX 分布式防火墙一样,NSX Edge 防火墙可以在网络的第2 层到第4 层提供安全保护,但如果需要在网络的第5 层到第7 层提供安全保护,您也可以部署第三方解决方案。安全供应商。使用NSX Edge 部署防火墙时,您必须了解不同大小的NSX Edge 资源分配。如表6.6 所示,每个防火墙都有不同的连接数和规则条目,因此应根据企业防火墙可能的连接数和规则条目来部署NSX Edge 防火墙。
6.3 NSX 防火墙实验配置
在本部分中,您将分别配置分布式防火墙和边缘防火墙,并验证它们的策略规则是否会在您的环境中执行。在进行实验之前,您需要指定一些拒绝和阻止规则,以便环境中所有可到达的地址都互连,并且某些流量被防火墙规则“杀死”。
6.3.1 配置 NSX 分布式防火墙
配置NSX 分布式防火墙: 1. 配置NSX 分布式防火墙时,首先与不同NSX 逻辑交换机(不同网段)上的虚拟机互相ping 通,以确定在未部署防火墙的情况下,它们的流量是否可以交互。 如图6.22和图6.23所示,可以看到192.168.41.10和192.168.42.10可以互相ping通。
2. 在NSX主界面左侧找到并单击防火墙图标,选择“+”添加防火墙规则,如图6.24所示。
添加该规则后,该规则会出现在配置界面中,但防火墙规则尚未配置,如图6.25所示。 3.将规则添加到您的防火墙。 找到“名称”栏,将规则名称添加到“+”符号处,如图6.26所示。 4. 设置此规则的源和目标。搜索源和目标,同时找到“+”图标并选择源和目标。这里,源为192.168.41.10所在的逻辑交换机,目的为IP地址为192.168.42.10的虚拟机,如图6.27和图6.28所示。
5. 配置源和目标后,选择服务类型。在这里您可以根据协议(IP、TCP、UDP、ICMP 等)及其端口号进行选择。这里选择ICMP Echo进行实验测试,如图6.29所示。
6. 选择服务后,您可以选择该服务的执行策略。共有三种策略:允许、阻止和拒绝。 默认为“允许”,即免费。为了进行实验测试,将其更改为Block,如图6.30所示。当然,您也可以选择“拒绝”。 Block 方法直接阻止流量而不通知。 Reject 处理方法是阻止流量,并通知用户流量被拒绝,即使IP 可达。
7.分布式防火墙配置完成。在运行策略之前,必须单击“发布更改”,如图6.31 所示。 8. 如图6.32和图6.33所示,测试结果显示192.168.41.10到192.168.42.10的测试ping包流量被拦截,说明防火墙配置成功。这是因为只为ICMP Echo配置了防火墙规则,而没有在ICMP Echo Reply方向应用防火墙策略。
6.3.2 配置 NSX Edge 防火墙
配置NSX Edge 防火墙与配置NSX 分布式防火墙类似。步骤如下:
1. 在外部物理路由器上启用环回端口,以模拟外部主机IP 地址1.1.1.1/32 并将其暴露给动态路由。这个环回地址本质上可以连接到内部网络(在NSX环境中,可以ping内部服务器地址192.168.41.10,如图6.34所示)。在NSX Edge 上配置防火墙规则,以防止外部主机ping 内部网络。
2. 找到连接外部物理网络的NSX Edge 服务网关(如图6.35),找到其防火墙配置界面,添加防火墙规则,如图6.36 所示。
3.可以根据新策略进行配置。与配置分布式防火墙类似,首先为其命名,如图6.37 所示。
接下来,您需要确定流量的来源和目的地。因此,您必须使用此IP 地址作为源。为此,请创建一个新的外部主机地址1.1.1.1/32 作为源,如图6.38 和图6.39 所示。
防火墙策略的目的是连接到逻辑交换机182.168.41.0/24,如图6.40所示。 4. 配置步骤与NSX 分布式防火墙相同。配置源和目标后,您必须配置服务类型并运行策略。另外,选择ICMP Echo并执行拒绝策略,如图6.41和图6.42所示。
5、经测试,之前可以正常ping通内网外部主机,但现在流量被防火墙策略拦截,如图6.43所示。
6.4 总结
无需绕过物理交换机到硬件产品,业务流量在虚拟化内完成,消除流量瓶颈。
#SDN 以上有关VMware NSX组网原则与实践的相关内容摘自互联网,仅供参考。相关信息请参见官方公告。
原创文章,作者:CSDN,如若转载,请注明出处:https://www.sudun.com/ask/91595.html
