标签:3.0 检测 IDS 防火墙 NSX IPS 虚机 分布式
***检测
***检测是一种积极主动的安全防护技术,它可以对网络传输进行即时监视,在发现可疑传输时发出警报或者采取主动反应措施,已经在网络安全领域得到了较为广泛的应用。传统的***检测系统 IDS (Intrusion Detect System) 和***保护系统 IPS (Intrusion Protect System) 都是以硬件方式实现的,***检测和保护功能集中在一个外部的硬件系统中,受保护的系统需要把网络流量导流到这些外置的 IDPS 系统,才能对网络流量进行检测,这就会导致发卡流量 (Hair-pin Traffic)。
除了发卡流量,传统的集中式硬件***检测和保护系统还存在着以下问题:
安全检测模型和粒度不够灵活
IDS 硬件的位置固定,在高可靠方案中需要配多套冗余设备,当虚机迁移后有可能需要修改网络配置
无法感知受保护应用的类型以提供有针对性的保护
NSX 3.0 在分布式防火墙中增加了***检测和***保护功能,利用软件来实现 IDS/IPS 的功能,具有以下特点:
分布式的弹性架构,灵活应对性能压力
为应用对供针对性检测,效率和准确性更高
支持虚机迁移
易于部署,易于使用
01
分布式的弹性架构,灵活应对性能压力
NSX 采用分布式的架构来提供***检测和***保护功能,可以理解为 NSX 分布式防火墙增加了 IDS 和 IPS 的功能,所以它能够对每个虚机提供安全检测和保护。分布式防火墙位于每一台服务器上,访问虚机的网络流量可以就近由分布式防火墙来处器,不再需要把流量导向到集中式的 IDS/IPS 设备,彻底消除了发夹式流量。
传统的硬件 IDS/IPS 系统,由于处理能力的限制,当网络流量较高时,只能选择性地只对部分数据包进行检测,容易造成漏判。分布式的架构带来了处理性能上的弹性,当网络流量超出现有的处理能力时,可以利用空闲的服务器进行横向扩容 (scale out),从而灵活满足业务变化的需求。
02
为应用对供针对性检测,效率和准确性更高
如果您曾经管理过防火墙,那么您就会知道,随着时间的流逝,防火墙的规则会迅速增长,可以轻松地达到几千或上万条规则,甚至更多。在传统的防火墙模型中,我们必须始终针对所有数据包运行所有防火墙规则,这会给防火墙的处理能力带来很大的压力。对于***检测,也是同样的道理,针对网络数据包需要应用一大堆***模式进行分析检查。
NSX 在这方面实现了创新,它给我们带来了更加智能的规则应用和检测粒度。由于 NSX 是在 hypervisor 内核中实现的,使得它对于虚机中运行的应用和服务有着更加深入的理解,它知道 Web 层、应用层和数据库层之间的区别。因此,我们只需要应用适用于工作负载的那些规则,Web 层只需要检测 Web 相关的规则,应用层和数据库层也是如此,这大大减少了每一台虚机上应用的规则数量。NSX 从本质上知道 Apache 和 Tomcat 之间的区别,因此仅将适当的 IDS/IPS 签名应用于对应虚机,客户将看到更少的误报,在显著提高吞吐量的同时也提高了检测的准确性。NSX 的这种工作机制是传统的***检测和保护技术无法相提并论的,在效率和灵活性上有着很大的优势,这是传统的硬件系统与软件定义解决方案之间的主要区别。
03
支持虚机迁移
在虚拟化的云环境中,NSX 对于虚机的保护能力可以随着虚机迁移,实际上针对虚机的防火墙规则和 IDS/IPS 规则都是一些全局性的设置,虚机迁移到一台新的服务器上后这些规则会马上生效。传统的硬件方案要实现这种能力需要配置多套硬件,并且需要用手工或脚本来同步多台设备之间的配置。在 NSX 3.0 中也加入了联邦 (Federation) 功能来把多个数据中心的 NSX 虚拟网络整合成一个整体,这样安全策略和规则可以跨数据中心生效,这种能力更是硬件方案无法实现的。
04
易于部署,易于使用
传统的防火墙和 IDS/IPS 设备价格昂贵、难以管理、容量受限,并且通常缺乏解决现代数据中心设计和应用模式的关键功能。NSX 的防火墙和 IDS / IPS 部署模型会随着每个工作负载消耗或释放容量而线性扩展,充分利用数据中心中所有计算资源,并且不再需要专用设备来束缚流量并加剧东西向网络的拥塞。对于管理员来说,网络、防火墙和 IDS/IPS 规则只需要定义一次就可以到处使用。这些规则是附加到虚机上的,当创建新的工作负载时,就会自动应用正确的规则;当工作负载退役时,规则会自动失效;而当工作负载移动时,规则会随之迁移并保持状态。
这些融合的操作使安全策略、合规性管理变得更加容易,并且大大简化了整体的安全体系结构。在现代应用环境中,容器 Pod 工作负载甚至是动态生成和消除的,可能有成千上万个虚机对象需要安全保护,依靠传统的硬件防火墙和 IDS/IPS 来保护这些应用是不可相像的,只有软件定义全自动解决方案才能胜任新一代容器应用的安全保护。
延伸阅读
VMware 和 Intel 携手网络和安全转型,共同打造虚拟云网络 (Virtual Cloud Network),为数字化时代确定网络发展前景。虚拟云网络基于运行在 Intel 架构上的 NSX 技术而构建, 跨数据中心、云、边缘环境和任意硬件基础架构提供无处不在的基于软件的网络连接,具有以下特点:
跨云的网络架构为用户提供端到端的连接
内置于基础架构的原生安全性
基于软件而交付的网络具有最大的灵活性
利用这一平台,无论应用运行在哪里 (现场或是云端),用户都能够保证应用架构的安全;并且统一所有分支机构和边缘环境的网络连接,以支撑业务运行。
标签:3.0,检测,IDS,防火墙,NSX,IPS,虚机,分布式 来源: https://blog.51cto.com/u_15127585/2726681
本站声明: 1. iCode9 技术分享网(下文简称本站)提供的所有内容,仅供技术学习、探讨和分享; 2. 关于本站的所有留言、评论、转载及引用,纯属内容发起人的个人观点,与本站观点和立场无关; 3. 关于本站的所有言论和文字,纯属内容发起人的个人观点,与本站观点和立场无关; 4. 本站文章均是网友提供,不完全保证技术分享内容的完整性、准确性、时效性、风险性和版权归属;如您发现该文章侵犯了您的权益,可联系我们第一时间进行删除; 5. 本站为非盈利性的个人网站,所有内容不会用来进行牟利,也不会利用任何形式的广告来间接获益,纯粹是为了广大技术爱好者提供技术内容和技术思想的分享性交流网站。