VMWareNSX网络及安全虚拟化解决方案.pptx

VMware NSX：网络及安全虚拟化解决方案12主题内容主题内容1网络及安全为什么要虚拟化？2NSX网络及安全虚拟化平台主要功能3NSX网络及安全虚拟化方案典型应用场景CLOUDMOBILEDATA CENTER网络及安全为什么要虚拟化？网络及安全为什么要虚拟化？3网络成为通往云计算之路的壁垒网络成为通往云计算之路的壁垒物理网络物理网络VLANs 不可扩展缺少自动化程序化控制单个人工节点管理不宜满足多种业务的SLAs 网络分割限制资源池化与共享网络状态难以统一监控烟囱式扩展方式功能被硬件捆绑工作负载不能灵活部署、均衡资源有限的多租户支持 租户自己无法控制地址管理限制了虚机迁移范围虚拟网络与物理网络协调困难L3-L7 集中式转发性能瓶颈虚拟机网络计费人工操作拖延迁移与灾备恢复时间目前目前网络与安全网络与安全架构向云计算转型时架构向云计算转型时遇到的挑战遇到的挑战vSpherevSphereUsersSites后台服后台服务务-VLANs,ACLs,防火墙,IDS/IPS,监控-服务器防病毒,虚拟机安全-网络设备及架构需全部升级来适应虚拟化环境:FabricPath/TRILL,and VM-tracing etc.需要新的成百上千万的投资!-AAA、应用、数据保护、合规-DMZ 防火墙,NAT,DDI-Site and user VPNs-负载均衡器,WAF-专有硬件-桌面防病毒-数据丢失保护,白名单DMZWebHorizon VDI配置太复杂,烟囱式扩展,大量人工操作,集中式处理带来性能瓶颈,网络资源限制!挑战成本效率一、网络割裂一、网络割裂 导致资源池利用率及灵活性降低导致资源池利用率及灵活性降低6二、二、网络网络架构架构复杂，维护工作量大复杂，维护工作量大7接入层接入层汇聚层汇聚层PGVLANUplink Teaming集群集群1集群集群NESXi ESXi ESXi ESXi vSphere Distributed Switch定义DV Port GroupsDefined based on traffic typeTeaming Resiliency,CapacityVLAN Traffic IsolationNIOC Shares B/W mgmtEnd-End QoS-802.1p 物理网卡功能分区Aggregate multiple pNics监控与排障NetFlow Understand trafficPort Mirroring Troubleshooting物理网络设计802.1Q,STP,Ethernet ChannelBlade I/O Module DesignVLAN load balancing,L3 GW redundancyfast convergenceMulti-Chassis LACP,L2MPQoS,Security，subscription ratio难以保证网络配置的一致性！三三、安全域的边界防护难以运维、安全域的边界防护难以运维CONFIDENTIAL8在数据中心内部很少或没有东西向安全控制InternetInternet安全控制不足基于IP的安全策略难以运维四四、已有业务变更响应缓慢，容易导致误操作、已有业务变更响应缓慢，容易导致误操作9业务开发人员:我已经调整好一套两层的Web应用系统，要尽快上线网络管理员:我应该如何调整配置网络拓扑?NAT策略？安全管理员：我应该如何调整防火墙安全策略？负载分担策略？InternetWebApp712345689五五、对新业务部署上线支持缓慢、对新业务部署上线支持缓慢ComputeNetworkDC ServicesDBDBAppAppWebWebCorpnet/Internet10服务部署缓慢可扩展性受限移动性受限依赖于硬件运维管理复杂虚拟化和云计算环境，使得数虚拟化和云计算环境，使得数据据中心的业务流量模型发生改变中心的业务流量模型发生改变11L2L3六六、核心链路和节点带宽被大量发夹流量消耗、核心链路和节点带宽被大量发夹流量消耗1270%70%L2L3计算虚拟抽象层计算虚拟抽象层七、难以实现网络及安全的七、难以实现网络及安全的L2-L7L2-L7层自动化层自动化物理基础架构管理平面分散大部分没有开放API接口难以实现端到端的网络自动化虚拟数据中心企业企业建立云计算数据中心该如何应对以上挑战？建立云计算数据中心该如何应对以上挑战？1.网络割裂 导致资源池利用率及灵活性降低2.网络架构复杂，割接工作量大3.安全域的边界防护难以运维4.已有业务变更响应缓慢，容易导致误操作5.对新业务部署上线支持缓慢6.核心链路和节点带宽被大量发夹流量消耗7.难以实现网络及安全的L2-L7层自动化CONFIDENTIAL14NSXNSX网络及网络及安安全虚拟化全虚拟化平台主平台主要功能要功能15VMware NSXVMware NSX网络与安全虚拟化网络与安全虚拟化平台平台基于基于NSXNSX的网络与安全虚拟化的网络与安全虚拟化像管理像管理VMVM一样一样管理网络与安全管理网络与安全硬件硬件软件软件二层交换三层路由防火墙负载均衡ITIT物理基础架构物理基础架构软件定义的数据中心软件定义的数据中心 计算计算-vSphere-vSphere网络网络-NSX-NSX存储存储-VSAN-VSAN可延展性云计算管理平台云计算管理平台vRealize Suite 7vRealize Suite 7云计算业务云计算业务(vRealize Business vRealize Business for Cloud)for Cloud)云计算运营管理云计算运营管理 (vRealize Operations(vRealize Operations 和和 vRealize Log Insight)vRealize Log Insight)云计算自动化云计算自动化 (vRealize Automation)(vRealize Automation)基础架构虚拟化基础架构虚拟化 计算硬件网络硬件存储硬件NSXNSX是是VMware SDDC(VMware SDDC(软件定义的数据中心软件定义的数据中心)的重要组成部分的重要组成部分终端用户计算终端用户计算应用应用传统应用传统应用新式云应用新式云应用混合云混合云公有云公有云私有云私有云vCenter OperationsMgmtvCloud Automation CentervCloud Automation Center IaaS PaaS DaaSIaaS PaaS DaaSApplicationDirectorMgmt vCloud Director/ConnectorvCenter Site Recovery ManagervSphereCloud Service ProvidersHyper-Hyper-visorsvisorsCMSCMSNSX IaaSIaaS PaaS PaaS DaaSDaaS支撑任意的应用(无需修改)虚虚拟网网络VMware NSX 网网络虚虚拟化平台化平台逻辑交换网络任意网络硬件架构云管理平台（vRealize Suite,OpenStack,Cloudstack）逻辑防火墙逻辑负载均衡逻辑路由网络逻辑VPNX86虚拟化层NSXNSX网络与安全虚拟化总体架构网络与安全虚拟化总体架构NSNSX X 支持广阔的网络虚拟化生态系统支持广阔的网络虚拟化生态系统NSX控制器NSX NSX APIAPI合作合作伙伴伙伴扩展扩展网络安全平台网关服务应用交付服务安全服务+Cloud MgmtPlatformsS6000 S6000 GatewayGatewayVLAN1 10.x.x.xVLAN1 10.x.x.xVLAN2 172.16.x.xVLAN2 172.16.x.xVLAN2 192.168.x.xVLAN2 192.168.x.x Virtual NetworkVirtual Network（NonBoardcastNonBoardcast）Virtual Layer 2 88.33.x.x(whatever)NSXNSX主要功能模块详解一：主要功能模块详解一：Layer2 Layer2 逻辑交换机逻辑交换机-VxLAN-VxLAN利用VXLAN解决数据中心网络存在的三大问题：vAny application any wherev大二层架构下存在的：MAC地址表、VLAN和二层Flooding三大问题v数据复制支持unicast、hybrid和multicast模式，解决目前vxlan没有control plane带来的flooding问题NSXNSX主要主要功能模块详解二：分布式逻辑路由器功能模块详解二：分布式逻辑路由器DLRDLR集中集中部署管理、部署管理、分布式处理分布式处理VMVMVMVMVMVMVMVMVMVMVMVMVMVMVMVMNSXNSX主要主要功能模块详解三：分布式逻辑防火墙功能模块详解三：分布式逻辑防火墙 DFWDFWVMVMVMVMVMVMVMVMVMVMVMVMVMVMVMBenefits安全策略直接部署到 VM网络端口No“Choke Point”,no more hair pin分布式处理,线速过滤,水平扩展基于VM元素的安全策略元素vNIC level 管控,安全与网络无关有效的IP及MAC的准入机制 集中管控 软件定义的虚拟化网络软件定义的虚拟化网络-分布式防火墙分布式防火墙DFWDFW实现微分段实现微分段 Micro-SegmentationMicro-Segmentation和和SpoofGuardSpoofGuardNSXNSX主要功能主要功能模块模块详解详解四四：NSX EdgeNSX Edge：集成化多功能的集成化多功能的虚拟虚拟网网关关 .防火墙负载均衡VPN路由网关/NATDHCP/DNS 中继DDIVMVMVMVMVM高度集成化的L3-L7层网络服务虚拟机形式，部署快速灵活，支持高可用与水平扩展概述适合用于企业网络边界多用途网关服务实时部署服务响应实例支持API动态部署网络服务可以依据应用的不同需求定制相应的网络服务可以充分利用X86服务器的计算能力 好处虚拟环境VxLAN物理环境 VLANNSXNSX典型的典型的部署案例部署案例:快速部署网络与安全服务快速部署网络与安全服务EdgeEdge作为南北向网关是作为南北向网关是NSXNSX关键关键组成组成部分部分VMManagement VLANL2 VPNBGPExternalNetworksNSX EdgeNSXNSX主要功能主要功能模块模块详解五：详解五：可视化流量监控分析可视化流量监控分析 Flow Monitoring Flow MonitoringBy default,flow monitoring is disabledTo enable flow monitoring,click the Enable buttonFlows that shouldnt be collected can be added to the exclusion lists in the Exclusion Settings of the Configuration tab27|35NSXNSX和和VMwareVMware vRealize OperationsvRealize Operations集成实现网络虚拟化的全面可视化管理集成实现网络虚拟化的全面可视化管理THANK YOUSUCCESS2024/5/8 周三29可编辑NSXNSX网络及安全虚拟化方案典型应用场景网络及安全虚拟化方案典型应用场景30NSXNSX的主要使用情境的主要使用情境及其提供给客户及其提供给客户的核心价值的核心价值31Multi-tenant InfrastructureDeveloper CloudDMZ AnywhereSecure End UserMetro PoolingHybrid Cloud Networking快速部署完整信息系统，由数周到数分钟以低廉的成本取得最完善的数据中心东西向防护藉由简化的逻辑网络大幅减少RTO(Recovery Time Objective)核心价值其他相关情境IT Automating ITMicro-segmentationDisaster Recovery安全：虚拟环境的完善保护自动化：IT支持快速部署业务业务持续性：任意地点的数据中心主要情境情境最近发生的攻击事件：32绝大多数攻击都有一个通性:攻击包可以在数据中心内部任意通行，而由于投资成本太高而且运维管理十分复杂，以至于数据中心 Micro-segmentation 难以实现，而NSX有效的解决了这个问题NSXNSX的主要使用情的主要使用情境境：安全微分段：安全微分段(Micro Segmentation)(Micro Segmentation)NSXNSX Micro-segmentationMicro-segmentation的主要功能的主要功能分区隔离隔离高级服务相关安全组间依据安全策略通信可以集成第三方的可以集成第三方的L4 L7L4 L7层安全层安全解决解决方案方案不相关网络完全隔离不相关网络完全隔离33公共通信网公共通信网E A3el l sVDIVDISEC公共服务区公共服务区SEC市级机关市级机关市级机关市级机关省级机关省级机关V VD DI I部部门门内内部部应应用用部部门门对对外外应应用用部部门门内内部部应应用用安全管理监控区安全管理监控区安全管理监控区安全管理监控区公共服务区公共服务区E-mailE-mailwwwwwwApp.App.入侵检测入侵检测入侵检测入侵检测InternetInternetInternetInternet资资源源池池与与微微分分段段方方案案微分段微分段微分段微分段微分段35Micro-segmentation:Micro-segmentation:实现虚拟化实现虚拟化数据中心内部数据中心内部不同应用的不同应用的安全安全防护防护 WebDBDBMarketing GroupServicesMgmtServices/Management Group/WebAppDBHR GroupApplication Application segmentationsegmentation按部门、区域划分隔离按应用边界划分按应用层划分支持安全组内部成员之间的逻辑隔离以虚机为单位隔离按需部署逻辑隔离支持现有网络与应用灵活方便的安全对象管理安全管控与应用一致性部署好处控制一个网络中的流量控制一个网络中各组之间的流量基于逻辑分组而不是物理拓扑保护流量安全灵活地创建网段 甚至在同一虚拟局域网上的不同系统之间（这在传统网络中极难做到）桌面虚拟化给您的数据中心带来更大的受攻击面桌面虚拟化给您的数据中心带来更大的受攻击面用户行为零日威胁不安全的 Internet 网站桌面到桌面的黑客攻击桌面到服务器的黑客攻击向东 向西虚拟桌面数据中心SAP、Oracle、Exchange 等企业级存储其他用户WWWVDI VDI 无法解决的问题：无法解决的问题：桌面虚拟化带来了新的安全注意事项：桌面虚拟化带来了新的安全注意事项：暴露了数据中心内的巨大攻击面用户和基础架构间具有多个“东西向”流保密资料36NSXNSX微分段功能加强了微分段功能加强了HorizonHorizon VDIVDI基础架构安全，为虚拟桌面和应用基础架构安全，为虚拟桌面和应用保驾护航保驾护航通过 NSX 网络虚拟化可以灵活创建网络资源池和逻辑隔离区，支持动态伸缩管理。微分段保护虚拟桌面和应用：桌面虚机间访问控制桌面到后台应用访问控制桌面防病毒NSX 的Edge服务网关也可以用于支持VDI的基础架构:Edge Firewall&LB。内部开发人员桌面池外部开发人员桌面池Internal Developer NetworkExternal Developer NetworkHorizon InfraCONFIDENTIAL37使用使用NSXNSX保护保护 VDI VDI 环境中的东西向流量环境中的东西向流量侧重于合规性和风险缓解的组织将实施安全区以保护数据中心内的东西向流量安全区以保护数据中心内的东西向流量难以实施难以实施需要大量的物理基础架构需要大量的物理基础架构管理复杂管理复杂集中式虚拟集中式虚拟桌面桌面共享服务共享服务DMZ数据库区数据库区远程工作远程工作员工区员工区工程区工程区开发区开发区财务区财务区公司区公司区PCI 区区管理区管理区保密资料38利用利用NSXNSX提升虚拟桌面的网络安全提升虚拟桌面的网络安全虚虚拟桌面部署面桌面部署面临的挑的挑战NSX 安全解决方案安全解决方案虚拟桌面之间的流量缺乏防火墙安全防护基于VM颗粒度的高效防火墙，不但保证桌面到桌面河桌面到服务器的流量安全每个虚拟桌面用户组需要有自己的安全策略，还包括自己的网络分区（如VLAN/VxLAN，IP子网等)基于用户组的防火墙安全策略，而不是安全策略和和网络拓扑紧耦。可以根据用户类型（如：Engineering，HR，Finance、外包合作伙伴等）或数据类型（如：信用卡、工资等）定义灵活的防火墙安全策略虚拟桌面的session比服务器负载更为动态，静态的安全策略无法需求大大简化用户和虚拟桌面资源池网络安全策略的自动化部署缺乏增强性安全防护手段，如：防病毒、防恶意软件、IPS、NGFW等和第三方防病毒、防恶意软件、IPS、NGFW集成，按需自动部署.控制和保护虚拟桌面到虚拟桌面、虚拟桌面到服务器的流量安全 为每个桌面构建“一体式网络一体式网络”消除网络间的串扰串扰最小的受攻击面最小的受攻击面 防范威胁扩散集中定义策略集中定义策略，并在虚拟机创建时即自动添加到其中永久跟随桌面永久跟随桌面，无论它位于何处NSX NSX 微分段：微分段：应对应对VDIVDI环境的东西向挑战环境的东西向挑战保密资料40虚拟网络连接：快速、简单、可延展虚拟网络连接：快速、简单、可延展保密资料41Jennifer（财务）文件文件人力资源人力资源财务财务电子邮件电子邮件SharePoint网络网络Bob（人力资源）人力资源人力资源财务财务NSX:VxLANNSX:VxLANEOR PODTOR POD服务器机房三层交换核心EOR PODTOR POD服务器机房NSX ControllerNSX ManagervCenter Serverv利用NSX分布式虚拟防火墙功能，实现虚拟机环境的精细化安全管理，同时实现虚拟机vmotion时，安全策略随动，不需要任何变更v支持基于特点应用或虚机的span和rspan功能实现流量的实时监控满足行业监管的要求v借助VxLAN技术实现跨机房和三层网络随意vMotion利利用用NSXNSX轻松实轻松实现在单个虚拟机和应用级别的现在单个虚拟机和应用级别的精细化安全管理和监控精细化安全管理和监控NSXNSX提供基提供基于智能分组的安全策略于智能分组的安全策略按自定义标准定义的组操作系统计算机名称应用层服务 安全状况法规要求NSXNSX提供可以编程的安全组和安全策略定义提供可以编程的安全组和安全策略定义支持可编程部署网络与安全拓扑满足应用需求安全策略安全策略安全组安全组逻辑交换、路由、防火墙、负载均衡逻辑交换、路由、防火墙、负载均衡WebWeb应用应用数据库数据库WebWeb“Web”防火墙 入方向仅允许 HTTP/S,出方向允许任意流量 IPS 入侵监测数据数据库库“数据库数据库”防火墙 入方向允许SQL，出方向允许漏洞管理 每周扫描应应用用“应用应用”防火墙 入方向允许 TCP 8443,出方向运行 SQLVMVMVMVMVMVMVMVMVMVMVMVM“缺省缺省”防火墙 共享服务访问(DNS,AD)防病毒 每天扫描缺省缺省44情形操作系统在若干系统上已不再受支持这些系统需要用策略将访问仅限制到电子邮件服务器不受支持的操作系统组示例：对不受支持的操作系统的智能分组示例：对不受支持的操作系统的智能分组45示例：软件定义的数据中心的自动化安全防护示例：软件定义的数据中心的自动化安全防护 隔离有漏洞的系统，直至将其修复安全组安全组=隔离区域隔离区域成员成员=标签标签=ANTI_VIRUS.VirusFound,L2 隔离网络隔离网络 安全组安全组=Web 层层策略定义策略定义标准桌面虚拟机策略标准桌面虚拟机策略 防病毒-扫描隔离的虚拟机策略隔离的虚拟机策略 防火墙-阻止除安全工具之外的所有工具 防病毒-扫描并修复示例：示例：NSXNSX高级安全高级安全 (IDS/IPS)(IDS/IPS)服务插入服务插入 比如比如Palo Alto Networks NGFWPalo Alto Networks NGFWInternet安全策略安全管理员安全管理员流量转向NSXNSX助力云计算自动化和自助式助力云计算自动化和自助式 IT IT 多机蓝本多机蓝本云计算使用者云计算使用者云计算管理员云计算管理员SLASLA成本配置文件成本配置文件安全性安全性网络连接网络连接服务目录服务目录服务服务请求请求网络配置文件网络配置文件安全组安全组安全策略安全策略网络管理员网络管理员负载均衡器负载均衡器管理员管理员标准化模板标准化模板逻辑负载均衡器逻辑负载均衡器安全管理员安全管理员可用性可用性安全性安全性连接连接安全标记安全标记外部网络外部网络保密资料48动态配置和部署模板化应用程序（NSX 和 vRealize Automation）逻辑交换机逻辑交换机逻辑路由器逻辑路由器NSX逻辑防火墙逻辑防火墙逻辑负载均衡器逻辑负载均衡器NSXNSX与与vRealizevRealize AutomationAutomation云计算自动化平台结合，实现包含网络和云计算自动化平台结合，实现包含网络和安全策略的按需应用安全策略的按需应用交付交付按需应用交付按需应用交付vRealize Automation资源预留资源预留多节点主机蓝图多节点主机蓝图服务目录服务目录Cloud Management Platform网络配置文件网络配置文件安全策略安全策略安全组安全组Web应用应用数据库数据库VMVMVMVMVMVM保密资料49使用使用NSXNSX构建的云计算平台，在构建的云计算平台，在满足业务敏捷性的同时满足业务敏捷性的同时完全完全实现安全可控实现安全可控系统管理员系统管理员安全管理员安全管理员应用上线需要按需即时部署计算、存储与网络用用户快速部署高性能的网络应用应用应用应用基础架构基础架构基础架构基础架构保障应用安全50提供合适的VM与存储网络管理员网络管理员NSXNSX 与与 vRealize AutomationvRealize Automation实现自动化部署网络安全实现自动化部署网络安全微分段微分段51WebAppDatabase私有私有没有外部连接没有外部连接VMVMVMVMVMVM安全隔离安全隔离区域间访问控制区域间通信增值服务分段分段高级服务高级服务区域间通信隔离通过通过NSXNSX实现多站点网络连接和安全（跨实现多站点网络连接和安全（跨 vCentervCenter）52vCenter AvCenter AvCenter BvCenter B 150 150 毫秒毫秒本地存储本地存储通用分布式逻辑路由器通用分布式逻辑路由器应用 WebDB应用 WebDB安全、高可用、分布式、虚拟化的资源池站点 A站点 B利用利用VMware NSXVMware NSX构建双活数据中心构建双活数据中心Active/Active Active/Active StorageStoragevSphere Metro StoragevSphere Metro Storage ClusterCluster Datastore 1Datastore 1Datastore 1Datastore 1vCenterServerL3 NetworkSite ASite ASite BSite BVM1VM2VM3Logical Switch A172.16.10.0/24VM4VM5Logical Switch B172.16.20.0/24Distributed Logical RouterSite A NSX Edge GWUplink Net ASite B NSX Edge GWUplink Net BvCenterServerNSX 6.2NSX 6.2与与Site Recovery Manager 6.1Site Recovery Manager 6.1无缝无缝集成集成 ，降低容灾方案的总，降低容灾方案的总体成本并显著体成本并显著加快恢复速度加快恢复速度54隐式映射分布式交换机分布式交换机Site Recovery Manager BSite Recovery Manager ANSX通用逻辑交换机Site Recovery Manager 6.1 支持跨 vCenter 逻辑交换机部署 NSX 6.2自动进行网络映射在已恢复的虚拟机上保留网络和安全规则概述概述减少 OPEX减少恢复后的手动配置工作将恢复时间缩短 40%1 或更多优势优势(1)VMware 性能工程-内部测试NSXNSX核心功能总结：核心功能总结：1.Layer2 逻辑交换机-VxLAN2.分布式逻辑路由器DLR3.分布式逻辑防火墙 DFW和微分段功能4.NSX Edge：集成化多功能的虚拟网关5.可视化流量监控分析 Flow Monitoring6.交付自动化的网络和安全策略与生俱来的大二层体系结构原生实现的出站流量的第一跳优化微分段实现虚拟化平台的安全防护LB、NAT、OSPF等功能完全虚拟化虚拟化后的网络不在成为看不懂的黑盒真正实现软件定义的网络和IT自动化55NSX软件版本:Standard,Advanced&Enterprise56StandardAgility and automation of the networkDistributed switching and routingNSX Edge firewallNATSW L2 bridging to physical environmentDynamic routing with ECMP(Active-active)API-driven automationIntegration with vRealize and OpenStack1 AdvancedStandard,plus a fundamentally more secure data center with micro-segmentationDistributed switching and routingNSX Edge firewallNATSW L2 bridging to physical environmentDynamic routing with ECMP(Active-active)API-driven automationIntegration with vRealize and OpenStackAutomation of security policies with vRealizeNSX Edge load balancingDistributed firewallingIntegration with Active DirectoryServer activity monitoringService insertion(3rd party integration)EnterpriseAdvanced,plus networking and security across multiple domainsDistributed switching and routingNSX Edge firewallNATSW L2 bridging to physical environmentDynamic routing with ECMP(Active-active)API-driven automationIntegration with vRealize and OpenStackAutomation of security policies with vRealizeNSX Edge load balancingDistributed firewallingIntegration with Active DirectoryServer activity monitoringService insertion(3rd party integration)Cross vCenter NSXMulti-Site NSX optimizationsVPN(IPSEC and SSL)Remote GatewayIntegration with HW VTEPsIT AUTOMATIONMulti-tenant infrastructure,Developer cloud,IT automating ITSECURITYMicro-segmentationDMZ anywhereSecure end userAPP CONTINUITYDisaster recoveryMetro poolingHybrid cloud1 L2,L3&NSX Edge Integration Only.No consumption of Security Groups Detailed Feature List Available here:http:/ NSX 动手练习：动手练习：http:/ WebWeb：http:/ THANK YOUSUCCESS2024/5/8 周三58可编辑