WMware vShield是一种与vSphere协同使用而构建的安全虚拟设备套件,用于保护虚拟化数据中心免遭攻击和误用。VMware vShield不是vSphere的组件,而是作为vSphere的配件,为云端的应用程序和数据提供安全性。
vShield套件包括vShield Zones、vShield Edge、vShield App 和 vShield Endpoint。
- vShield Zones 为虚拟机之间的流量提供防火墙保护。对于每个 Zones 防火墙规则,可以指定源 IP、目标 IP、源端口、目标端口和服务。
- vShield Edge 提供网络边缘安全和网关服务以隔离端口组、分布式端口组或 Cisco Nexus 1000V 中的虚拟机。vShield Edge 通过提供常用网关服务(如 DHCP、VPN、NAT 和负载平衡)将隔离的存根网络连接到共享的上行链路网络。vShield Edge 通常部署在 DMZ、VPN Extranet 和多用户云环境中,在这些环境中,vShield Edge 可为虚拟数据中心 (VDC) 提供边界网络安全性。
- vShield App 是一种内部虚拟网卡级防火墙,它允许您在任何网络拓扑中创建访问控制策略。vShield App 监控进出ESXi 主机的所有流量,包括同一端口组内虚拟机之间的流量。vShield App 包括流量分析和基于容器的策略创建。
- vShield Endpoint 提供了一种基于自检的防病毒解决方案。vShield Endpoint 使用管理程序从外部(不使用代理)扫描客户机虚拟机。vShield Endpoint 在优化内存使用的同时避免出现资源瓶颈。
VMware vShield是构建VMware 私有云的必备组件之一,因为它提供了安全的多租户功能,允许多个公司使用同一个虚拟基础设施,一起连接到云中。
vShield Manager是用来管理vShield App、vShield Edge以及vShield Endpoint的虚拟机。
vShield App是基于hypervisor的应用感知防火墙,对虚拟网络中的流量和数据进行控制。vShield App是位于虚拟网卡接口层的4层防火墙,这意味着vShield App不仅能够识别IP地址和端口号,而且能够识别应用的流量,比如HTTP,SMTP,SQL等等。更值得称道的是当虚拟机在主机之间进行vMotion迁移时,vShield App所使用规则仍然有效。如果打算使用vShield App的话,那么还有一个新选择vShield App Data Security,该产品能够监控虚拟网络中的流量,发现敏感的公司,雇员或信用卡数据,而且能够避免数据落入坏人之手。
vShield Edge保护虚拟基础设施的边界,通过将私有虚拟基础设施连接到公有云创建混合云。vShield App保护内部虚拟网络,而vShield Edge控制网络的出入流量。
vShield Endpoint能够与第三方反病毒工具进行集成,虚拟机的反病毒扫描由与安全相关的虚拟机独自进行。如果你在使用桌面虚拟化,那么vShield Endpoint是卸载影响虚拟机性能的反病毒扫描任务的一个很好的方法。
你可能也想了解vShield Zones。VMware在推出其他安全组件之前就提供了vShield Zones,VShield Zones是一个基本的虚拟防火墙,使用IP地址和端口号过滤虚拟网络中的流量,是vShield App的一个更为基本的形式。
和所有其他的vShield安全产品不同,VMware不单独销售vShield Zones,它包含在了vSphere企业版以及企业增强版的许可当中。但是,自从在2009年发布以来,VMware一直没有对vShield Zones进行更新。vShield Zones 1.0和vSphere 5兼容,既然VMware不打算对vShield Zones进行更多的更新,那么我建议直接忽略掉vShield Zones,从使用vShield App,vShield Edge以及vShield Endpoint开始即可。
下载并安装VMware vShield
无论是使用vShield App还是vShield Edge,都必须先安装vShield Manager。利用vShield Manager可以安装,配置并维护VMware vShield 5的所有组件。你可以通过vSphere Client插件或者是命令行管理VMware的安全特性,但是首先需要运行vShield Manager进行vShield的部署。
你可以通过浏览器访问已经安装的vShield Manager,进行最初的配置。请注意vShield Manager默认的用户名和密码是“admin”和“default”。
安装vShield Manager的基本步骤如下所示:
从VMware.com下载vShield Manager(可以进行为期60天的免费评估)。
使用vSphere Client部署vShield Manager虚拟机(需要连接到vCenter)。
启动vShield Manager虚拟机。
通过vSphere Client连接到vShield Manager控制台并登录。
在控制台中,使用enable命令(默认密码为default)然后运行setup命令,为vShield Manager配置IP地址。
通过Web浏览器访问vShield Manager虚拟机。
输入vCenter的主机名/IP地址以及vCenter 的管理凭据建立vShield Manager与vCenter之间的联系。
在vSphere Client中注册vShield Manager插件
配置完vShield Manager之后,就可以安装vShield App,vShield Edge,vShield Endpoint或这是vShield App Data Security了。每个安全组件都需要许可密钥,也可以使用评估密钥。现在你就可以在每台ESXi 服务器上部署vShield App或者是vShield Eage虚拟机了。