???????????????????????????????? VMware vSphere服務(wù)器虛擬化實(shí)驗(yàn)十五 vCenter vShield Manager
VMware? vShield Manager是專為 VMware vCenter Server 集成而構(gòu)建的安全虛擬設(shè)備套件,在vShield5 5.1時(shí)被重新命名為VMware vCloud Networking and Security并得到了增強(qiáng)。vShield 是保護(hù)虛擬化數(shù)據(jù)中心免遭攻擊和誤用的關(guān)鍵安全組件，可幫助您實(shí)現(xiàn)合規(guī)性強(qiáng)制要求目標(biāo),包含對(duì)保護(hù)虛擬機(jī)至關(guān)重要的虛擬設(shè)備和服務(wù)。可通過(guò)基于 Web 的用戶界面、vSphere Client 插件、命令行界面 (CLI) 和 REST API 安裝、配置和維護(hù) vShield。vShield Manager 是 vShield 的集中式網(wǎng)絡(luò)管理組件，可作為虛擬設(shè)備安裝在 vCenter Server 環(huán)境中的任意ESX? 主機(jī)上。vShield Manager 可在與安裝 vShield 代理不同的 ESX 主機(jī)上運(yùn)行。一個(gè) vShield Manager 可管理一個(gè) vCenter Server 環(huán)境和多個(gè) vShield App、vShield Edge、vShield Endpoint和 vShield Data Security 實(shí)例。使用 vShield您可以為各種虛擬機(jī)部署構(gòu)建安全區(qū)域。您可以根據(jù)特定應(yīng)用程序、網(wǎng)絡(luò)分段或自定義合規(guī)性因素隔離虛擬機(jī)。確定區(qū)域分配策略后，可以通過(guò)部署 vShield 在這些區(qū)域中強(qiáng)制實(shí)施訪問(wèn)規(guī)則。

以下是 vShield 組件包介紹：
A.?vShield Manager: vShield Manager 是 vShield 的集中式網(wǎng)絡(luò)管理組件，可作為虛擬設(shè)備安裝在 vCenter Server 環(huán)境中的任意ESX? 主機(jī)上。vShield Manager 可在與安裝 vShield 代理不同的 ESX 主機(jī)上運(yùn)行。使用 vShield Manager 用戶界面或 vSphere Client 插件，管理員可以安裝、配置和維護(hù) vShield 組件。vShieldManager 用戶界面利用 VMware Infrastructure SDK 顯示 vSphere Client 清單面板的副本，并包含 Hosts &Clusters 和 Networks 視圖。(注：不需要許可證，包含在vCenter上)

B.?vShield App：vShield App 是基于管理程序的防火墻，可保護(hù)虛擬數(shù)據(jù)中心中的應(yīng)用程序免遭基于網(wǎng)絡(luò)的攻擊。組織可查看和控制虛擬機(jī)之間的網(wǎng)絡(luò)通信。您可以基于邏輯構(gòu)造（如 VMware vCenter? 容器和 vShield 安全組），而不僅是基于物理構(gòu)造（如 IP 地址）來(lái)創(chuàng)建訪問(wèn)控制策略。此外，可變 IP 尋址會(huì)提供在多租戶區(qū)域中使用同一 IP地址簡(jiǎn)化置備的功能。應(yīng)當(dāng)在群集內(nèi)的每臺(tái) ESX 主機(jī)上安裝 vShield App，這樣 VMware vMotion 操作便可正常運(yùn)行，且虛擬機(jī)在ESX 主機(jī)之間遷移時(shí)仍會(huì)受保護(hù)。默認(rèn)情況下，使用 vMotion 無(wú)法移動(dòng) vShield App 虛擬設(shè)備。Flow Monitoring 功能會(huì)顯示在應(yīng)用程序協(xié)議級(jí)別的虛擬機(jī)之間的網(wǎng)絡(luò)活動(dòng)。您可以使用此信息審核網(wǎng)絡(luò)流量、定義和細(xì)化防火墻策略以及識(shí)別對(duì)網(wǎng)絡(luò)的威脅。（要許可證）

C.?vShield Edge：vShield Edge 可提供網(wǎng)絡(luò)邊緣安全和網(wǎng)關(guān)服務(wù)，用于隔離端口組、vDS 端口組或 Cisco Nexus 1000V 端口組中的虛擬化網(wǎng)絡(luò)或虛擬機(jī)。可以在數(shù)據(jù)中心級(jí)別安裝 vShield Edge 并添加多達(dá)十個(gè)內(nèi)部或上行鏈路接口。vShieldEdge 通過(guò)提供 DHCP、VPN、NAT 和負(fù)載平衡等常見(jiàn)網(wǎng)關(guān)服務(wù)將隔離的末端網(wǎng)絡(luò)連接到共享（上行鏈路）網(wǎng)絡(luò)。vShield Edge 通常部署在 DMZ、VPN 外聯(lián)網(wǎng)和多租戶云計(jì)算環(huán)境中，vShield Edge 在這些環(huán)境中為虛擬數(shù)據(jù)中心 (Virtual Datacenter, VDC) 提供外圍安全保護(hù)。而且vShield Edge 支持將所有服務(wù)的 syslog 導(dǎo)出到遠(yuǎn)程服務(wù)器。（要許可證）

D.?vShield Endpoint:vShield Endpoint 可將防病毒和防惡意軟件代理處理任務(wù)轉(zhuǎn)移到 VMware 合作伙伴提供的專用安全虛擬設(shè)備上。由于安全虛擬設(shè)備（與客戶機(jī)虛擬機(jī)不同）不會(huì)脫機(jī)，因此可以不斷地更新防病毒簽名，從而為主機(jī)上的虛擬機(jī)提供持續(xù)保護(hù)。另外，還可以在新虛擬機(jī)（或處于脫機(jī)狀態(tài)的現(xiàn)有虛擬機(jī)）聯(lián)機(jī)時(shí)，立即使用最新防病毒簽名保護(hù)這些虛擬機(jī)。vShield Endpoint 可作為虛擬化管理程序模塊和來(lái)自第三方防病毒供應(yīng)商（VMware 合作伙伴）的安全虛擬設(shè)備安裝在 ESX 主機(jī)上。管理程序可從外部掃描客戶機(jī)虛擬機(jī)，而無(wú)需從每個(gè)虛擬機(jī)中的代理進(jìn)行掃描。這使vShield Endpoint 在優(yōu)化內(nèi)存使用情況的同時(shí)更為有效地避免出現(xiàn)資源瓶頸。（要許可證）

E.?vShield Data Security:可通過(guò) vShield Data Security 查看存儲(chǔ)在組織的虛擬化環(huán)境和云環(huán)境中的敏感數(shù)據(jù)。根據(jù) vShield Data Security報(bào)告的沖突，您可以確保敏感數(shù)據(jù)受到充分保護(hù)，并且能評(píng)估與周圍環(huán)境中的法規(guī)是否相符。（要許可證）

vShield部署方案：
A.?保護(hù) DMZ:DMZ 是指混合信任區(qū)域。客戶端從 Internet 進(jìn)入以獲取 Web 和電子郵件服務(wù)，DMZ 中的服務(wù)可能要求訪問(wèn)內(nèi)部網(wǎng)絡(luò)中的服務(wù)。可以將 DMZ 虛擬機(jī)置于一個(gè)端口組中，并使用 vShield Edge 對(duì)該端口組進(jìn)行保護(hù)。vShield Edge 提供防火墻、NAT 和 VPN 以及負(fù)載平衡等訪問(wèn)服務(wù)來(lái)保護(hù) DMZ 服務(wù)。要求訪問(wèn)內(nèi)部服務(wù)的 DMZ 服務(wù)的一個(gè)常見(jiàn)示例是 Microsoft Exchange。Microsoft Outlook Web Access (OWA)通常駐留在 DMZ 群集中，而 Microsoft Exchange 后端位于內(nèi)部群集中。在內(nèi)部群集中，您可以創(chuàng)建相關(guān)防火墻規(guī)則，以僅允許來(lái)自 DMZ 的 Exchange 相關(guān)請(qǐng)求，標(biāo)識(shí)特定的源到目標(biāo)參數(shù)。在 DMZ 群集中，您可以創(chuàng)建相關(guān)規(guī)則，將對(duì) DMZ 的外部訪問(wèn)僅限于使用 HTTP、FTP 或 SMTP 協(xié)議的特定目標(biāo)。

B.?隔離和保護(hù)內(nèi)部網(wǎng)絡(luò):可以使用 vShield Edge 將內(nèi)部網(wǎng)絡(luò)與外部網(wǎng)絡(luò)隔離。vShield Edge 提供外圍防火墻保護(hù)和邊界服務(wù)，以保護(hù)端口組中的虛擬機(jī)，并支持通過(guò) DHCP、NAT 和 VPN 與外部網(wǎng)絡(luò)通信。在安全的端口組內(nèi)，可以在 VDS 所跨的每個(gè) ESX 主機(jī)上安裝一個(gè) vShield App 實(shí)例，從而保護(hù)內(nèi)部網(wǎng)絡(luò)中虛擬機(jī)之間的通信。如果您利用 VLAN 標(biāo)記對(duì)流量進(jìn)行分段，可以使用 App Firewall 創(chuàng)建智能訪問(wèn)策略。借助 App Firewall（而不是物理防火墻），可以合并或混合共享 ESX 群集中的信任區(qū)域。這樣，您會(huì)獲得 DRS 和 HA 等功能的最佳利用率和整合效果，而不是擁有單獨(dú)的分段群集。將整個(gè) ESX 部署作為單個(gè)池來(lái)管理遠(yuǎn)沒(méi)有單獨(dú)管理多個(gè)池復(fù)雜。例如，可根據(jù)邏輯、組織或網(wǎng)絡(luò)邊界使用 VLAN 對(duì)虛擬機(jī)區(qū)域分段。vShield Manager 利用 Virtual InfrastructureSDK，其清單面板會(huì)在 Networks 視圖下顯示 VLAN 網(wǎng)絡(luò)視圖。您可以為每個(gè) VLAN 網(wǎng)絡(luò)構(gòu)建訪問(wèn)規(guī)則來(lái)隔離虛擬機(jī)并丟棄傳輸?shù)竭@些計(jì)算機(jī)的未標(biāo)記流量

C.?保護(hù)群集中的虛擬機(jī):可以使用 vShield App 保護(hù)群集中的虛擬機(jī)。群集中的每臺(tái) ESX 主機(jī)上都安裝了 vShield App。當(dāng)通過(guò) vMotion 或 DRS 在群集中的 ESX 主機(jī)之間移動(dòng)虛擬機(jī)時(shí)，虛擬機(jī)仍受保護(hù)。每個(gè) vApp 共享和維護(hù)所有傳輸狀態(tài)。安裝在群集中每個(gè) ESX 主機(jī)上的 vShield App 實(shí)例

vShield 組件之間的通信：應(yīng)將 vShield 組件的管理接口放置在公共網(wǎng)絡(luò)（如 vSphere 管理網(wǎng)絡(luò)）中。vShield Manager 必須可以連接到vCenter Server、ESXi 主機(jī)、vShield App 和 vShield Edge 實(shí)例、vShield Endpoint 模塊和 vShield DataSecurity 虛擬機(jī)。vShield 組件可以通過(guò)路由連接及不同的 LAN 進(jìn)行通信。VMware 建議您將 vShield Manager 安裝在專用的管理群集（獨(dú)立于 vShield Manager 管理的群集）上。每個(gè) vShield Manager 將管理一個(gè) vCenter Server 環(huán)境。如果 vCenter Server 或 vCenter Server 數(shù)據(jù)庫(kù)虛擬機(jī)位于您要安裝 vShield App 的 ESX 主機(jī)上，請(qǐng)?jiān)诎惭bvShield App 之前將其遷移到其他主機(jī)上。確保打開(kāi)以下端口：
1)?來(lái)自、到達(dá)以及在 ESX 主機(jī)、vCenter Server 和 vShield Data Security 之間的端口 443/TCP
2)?用于時(shí)間同步的 vShield Manager 和 vShield App 之間的 UDP123
3)?用于使用 REST API 調(diào)用的從 REST 客戶端到 vShield Manager 的 443/TCP
4)?用于使用 vShield Manager 用戶界面并啟動(dòng)與 vSphere SDK 的連接的 80/TCP 和 443/TCP 用于在 vShield Manager 和 vShield App 之間進(jìn)行通信并排除 CLI 故障的 22/TCP

說(shuō)明：
????? 環(huán)境基于實(shí)驗(yàn)十四，本次實(shí)驗(yàn)只安裝vShield Manager，不做保護(hù)部署規(guī)劃，測(cè)試環(huán)境有限制

1、在VMware官網(wǎng)下載測(cè)試版vShield? Manager 5.1的OVA模版

2、打開(kāi)vSphere Client通過(guò)部署OVF功能，導(dǎo)入vShield? Manager 5.1的OVA模版創(chuàng)建虛擬機(jī)，并根據(jù)向?qū)гO(shè)置好然后設(shè)置虛擬機(jī)的配置，否則測(cè)試環(huán)境可能無(wú)法啟動(dòng)，最后啟動(dòng)虛擬機(jī)

3、部署完vShield? Manager虛擬機(jī)后，在vSphere Client中打開(kāi)控制臺(tái)登錄（默認(rèn)用戶:admin,密碼：default），在manager提示中輸入enable，在Password中輸入default啟用設(shè)置模式，然后在設(shè)置模式輸入setup開(kāi)始設(shè)置過(guò)程，CLI setup 向?qū)?huì)引導(dǎo)您完成為 vShield Manager 的管理接口分配 IP 地址并標(biāo)識(shí)默認(rèn)網(wǎng)絡(luò)網(wǎng)關(guān)的過(guò)程。管理接口的 IP 地址必須可供 vCenter Server、ESXi 主機(jī)、所有已安裝的 vShield App、vShield Edge 和vShield Endpoint 實(shí)例以及用于系統(tǒng)管理的 Web 瀏覽器訪問(wèn)。配置完成別忘了重啟虛擬機(jī)

4、完成了vShield? Manager虛擬機(jī)的初始化后，通過(guò)Chrome瀏覽器使用IP地址 https://214.214.51.71 訪問(wèn)vShield? Manager（IE瀏覽器支持不好）,然后添加vCenter服務(wù)器等設(shè)置

5、重新打開(kāi)vSphere Client，打開(kāi)vShield的菜單觀察變化

視頻分享： http://pan.baidu.com/share/link?shareid=605315024&uk=1025659618

?

VMware vSphere服務(wù)器虛擬化實(shí)驗(yàn)十五 vCenter vShield Manager