项目七-虚拟机防护.ppt

,*,*,*,项目七 虚拟机防护,（课时数：,8,课时）,云安全防护技术,主 要 内 容,1,任务1 安装云格虚拟机安全防护平台,2,任务2 配置虚拟机保护,3,任务3 虚拟机迁移保护,任务1 安装云格虚拟机安全防护平台,【学习目标】,【任务导入】,【知识准备】,【任务实施】,一、【学习目标】,知识目标,了解虚拟机运行的安全风险,理解数据中心内部虚拟机安全解决方案,技能目标,掌握虚拟机防护平台安装,二、【任务导入】,对于传统的数据中心安全架构带来三方面的挑战：,（1）云平台内部流量不可见；,（2）虚拟机和虚拟机之间缺乏安全隔离；,（3）云安全对云平台弹性扩展、动态迁移的适应。,二、【任务导入】,山石网科公司推出了一套云格虚拟化防护解决方案。山石云格通过专利引流技术、虚拟机微隔离及可视化技术，能够为用户提供全方位的云安全服务，包括流量及应用可视化，虚拟机之间威胁检测与隔离，网络攻击审计与溯源等。,。,三、【知识准备】,-（一）云格虚拟机安全防护平台介绍,云格是一款软件产品，其安全服务的管理平面、控制平面、业务平面采用分部式设计，由 vSOM、vSCM、vSSM 三部分组成。,（1）vSOM：虚拟安全管理模块(virtual security orchestration module)为管理平面。,（2）vSCM：虚拟安全控制模块(virtual security control module)为控制平面。,（3）vSSM：虚拟安全业务模块(virtual security service module)是业务平面。,三、【知识准备】,-（一）云格虚拟机安全防护平台介绍,云格在每个物理机上部署vSSM虚拟板卡，动态添加不同粒度（主机，端口组，虚拟机）的资源保护技术，提供云资源池虚拟机之间东西流量的安全控制，实现无缝的安全模块故障切换功能，为数据中心云资源池提供更有效的安全保护。,三、【知识准备】,-（二）云格虚拟机安全防护的特点,（1）实时流量深度可视,（2）阻止攻击横向蔓延,（3）云环境适应性,（4）降低部署及运维成本,四、,【任务实施】,实训任务,：,安装云格虚拟机安全防护平台。,四、,【任务实施】,实训环境,：,四、,【任务实施】,实训步骤,：,步骤1：安装vSOM,步骤2:登录vSOM虚拟机，并配置vSOM虚拟机的管理IP,步骤3.:登录vSOM的WebUI界面，安装vSCM虚拟机和vSSM虚拟机,任务2 配置虚拟机保护,【学习目标】,【任务导入】,【知识准备】,【任务实施】,一、【学习目标】,知识目标,理解虚拟化防护的工作原理,了解云格保护部署模式,了解云格保护对象,技能目标,掌握添加保护对象的配置,掌握安全策略配置,掌握攻击防护配置,二、【任务导入】,对于云环境，虽然外部可能部署入侵防御设施，但可能存在这样的情况，某虚拟机由于弱口令之类的漏洞被远程控制，然后黑客以此虚拟机为跳板，再对其它虚拟机进行漏洞扫描和利用入侵，DoS攻击会产生大量的会话，可能通过云管理平台发现，然而从内部发起的漏洞入侵的过程在网络层面上与正常访问无异，无法被发现，因此需要识控的方案。,云格以虚拟机的形式部署，通过专利引流技术实现虚拟机微隔离，为用户提供全方位的云安全服务。,三、【知识准备】,-（一）云格保护部署模式,旁路部署 透明串接,三、【知识准备】,-（一）云格保护部署模式,旁路部署模式实现原理,旁路前流向示意图,旁路后流向示意图,三、【知识准备】,-（一）云格保护部署模式,透明串接模式实现原理,保护前流向示意图,保护后流向示意图,三、【知识准备】,-（,二,）添加保护对象,保护对象类型有：,虚拟机：指定虚拟机,网络：所连接标准交换机、分布式交换机的虚拟机,三、【知识准备】,-（,三,）配置安全策略,安全策略规则：,策略规则分为两部分：过滤条件和动作行为。过滤条件包括流量的源安全域/源地址、目的安全域/目的地址、服务和应用类型、角色用户、时间表等；动作行为包括允许（Permit）、拒绝（Deny）两个操作，系统缺省的操作是拒绝所有流量。,策略匹配顺序是从列表由上至下（不是按照ID号大小匹配）根据流量的过滤条件进行匹配，系统会对流量按照找到的第一条与过滤条件相匹配的策略规则进行处理。,三、【知识准备】,-（,三,）配置对象,对象模块包括地址簿、服务簿、应用簿、时间表、监控对象等,三、【知识准备】,-（,四,）配置攻击防护,云格提供基于域或者端口组的攻击防护功能。,四、,【任务实施】,实训任务,：,1.配置虚拟机保护,2.配置FLOOD攻击防护,四、,【任务实施】,实训环境,：,四、,【任务实施】,实训步骤,：,步骤1：查看kali Linux渗透测试虚拟机和Windows Server 2008虚拟机,的连通性。,步骤2.：保护Windows Server 2008虚拟机,步骤3.：添加策略，允许kali Linux渗透测试虚拟机和Win2008虚拟机,连通,步骤4：配置Huge-ICMP大包攻击,步骤5：配置SYN-flood攻击,任务3 虚拟机迁移保护,【学习目标】,【任务导入】,【知识准备】,【任务实施】,一、【学习目标】,知识目标,了解虚拟化迁移的工作原理,技能目标,配置被保护虚拟机的迁移,二、【任务导入】,在传统数据中心里，为服务器提供安全防护的防火墙等设备，都是基于安全策略，针对具体服务器做好了固定的配置。而在虚拟化的数据中心里，出于负载均衡、资源动态调整、高可用性、服务器硬件维护甚至是节约电源的目的，虚拟机会在数据中心内手工或者动态地迁移，即虚拟机从一台物理服务器迁移到另一台物理服务器，此时外部防火墙无法感知虚拟机的位置变化，因此针对具体应用的安全策略无法跟随，这又导致的新的安全漏洞。,二、【任务导入】,云格虚拟化安全防护解决方案。所有的云格虚拟机共同组成了一个虚拟设备，一条策略配置就能通过控制平面推送到所有的虚拟机。例如一个租户的虚拟机运行在一个机架里，它的流量被这个机架上的vSSM虚拟机所保护，后来这个虚拟机迁移到另一个不同的机架上，它的流量就被这个机架上的vSSM虚拟机所保护了。因为防火墙策略和防火墙状态没变，租户的业务就不会有任何中断。,三、【知识准备】,-（一）vMotion 工作原理,通过 VMware vMotion,，可以：,在零停机、用户毫无察觉的情况下执行实时迁移。,持续地自动优化资源池中的虚拟机。,在无需安排停机、不中断业务运营的情况下执行硬件维护。,主动将虚拟机从发生故障或性能不佳的服务器中移出。,三、【知识准备】,-（一）vMotion 工作原理,vMotion 迁移会在按照以下三个阶段进行,：,（1）当请求通过vMotion 迁移时，vCenter Server虚拟中心服务器通过其当前主机验证现有虚拟机是否处于稳定状况。,（2）虚拟机状况信息（内存、寄存器和网络连接）将复制到目标主机。,（3）虚拟机将恢复其新主机上的活动。,三、【知识准备】,-（二）vMotion 的主机配置,要成功使用vMotion，请确保已在以下每个要求中正确地配置主机,：,必须针对vMotion 正确许可每台主机。,每台主机必须满足vMotion 的共享存储器需求。,每台主机必须满足vMotion 的网络要求。,三、【知识准备】,-（,三,）云格保护虚拟机vMotion过程,VM1虚拟机迁移前,：,三、【知识准备】,-（,三,）云格保护虚拟机vMotion过程,VM1虚拟机迁移后,：,四、,【任务实施】,实训任务,：,1.安装FreeNAS共享存储,2.配置被保护虚拟机的迁移,四、,【任务实施】,实训环境,：,四、,【任务实施】,实训步骤,：,步骤1.：创建虚拟机,步骤2：FreeNAS安装,步骤3：FreeNAS基础配置,步骤4：FreeNAS GUI配置,步骤5：在ESXi主机上添加NFS共享存储,步骤6：vMotion网络配置启用vMotion,步骤,7,：vMotion网络配置启用vMotion,本章结束！,