VMware Hands-on Labs - HOL-1703-USE-2-ZH


练习概述 - HOL-1703-USE-2 - VMware NSX:具有微分段功能的分布式防火墙

练习指导


注意:完成本练习需要 90 多分钟。每次最好只完成 2 到 3 个单元。这些单元彼此相互独立,因此您可以选择任一单元从头学起。您可以使用目录访问所选择的任何单元。

目录可以从练习手册的右上角访问。

在本练习中,学员将了解 NSX 的微分段功能并配置分布式防火墙、SpoofGuard、安全组、安全策略和 Service Composer 等 NSX 安全服务。学员还将审查并逐步完成安全用例,例如将 3 层应用合并到一个 L2 域,以及对虚拟机进行智能分组以应用防火墙和安全策略。

练习单元列表:

练习负责人:

本练习手册可以从动手练习文档站点下载,网址为:

[http://docs.hol.vmware.com]

本练习可能会提供其他语言版本。要设置语言首选项并在练习中实施本地化手册,可以在以下文档的帮助指导下完成:

http://docs.hol.vmware.com/announcements/nee-default-language.pdf


 

主控制台的位置

 

  1. 红框区域包含主控制台。练习手册位于主控制台右侧的选项卡上。
  2. 个别练习可能会用到其他控制台,分别位于左上角的不同选项卡上。如有需要,系统将引导您打开另一特定控制台。
  3. 练习时间为 90 分钟,由计时器计时。练习结果无法保存。所有工作必须在练习过程中完成。但是您可以单击EXTEND(延长)延长时间。如遇 VMware 活动,练习可以延时两次,最多可延长 30 分钟。每单击一次可延长 15 分钟。非 VMware 活动期间,最多可将练习时间延长至 9 小时 30 分钟。每单击一次可延长一小时。

 

 

键盘式数据输入的替代方法

在本单元中,您将向主控制台中输入文本。除直接输入外,还有两种非常有用的数据输入方法,可简化输入复杂数据的过程。

 

 

单击,将练习手册内容拖放到控制台的活动窗口

也可以单击,将文本和命令行界面 (CLI) 命令直接从练习手册拖放到主控制台中的活动窗口。 

 

 

访问在线国际键盘

 

您还可以使用主控制台中的在线国际键盘。

  1. 单击 Windows 快速启动任务栏上的键盘图标。

 

 

在活动的控制台窗口中单击一下

 

在本例中,您将使用在线键盘输入电子邮件地址中所使用的@符号。在美式键盘布局上,要输入@符号需要按住 Shift 并按 2。

  1. 在当前的控制台窗口中单击一下。
  2. 单击Shift键。

 

 

单击@键

 

  1. 单击@键。

你会注意到活动控制台窗口中输入了@符号。

 

 

查看屏幕右下部分

 

请检查是否完成练习的所有启动例程,以及是否准备好开始练习。如果您看到Ready(准备就绪)以外的内容,请等待几分钟。如果 5 分钟后,您的练习仍未变为Ready(准备就绪)状态,请寻求帮助。

 

 

激活提示或水印

 

首次开始练习时,您可能会注意到桌面上有一个水印,提示 Windows 尚未激活。 

虚拟化的一个主要优势在于,可以在任意平台上移动和运行虚拟机。本动手练习利用了这一优势,我们可以运行多个数据中心内的练习。但是,这些数据中心的处理器可能不同,这就需要通过 Internet 进行 Microsoft 激活检查。

请放心,VMware 和本动手练习完全符合 Microsoft 的许可要求。您使用的练习是一个独立的单元,没有对 Internet 的完全访问权限,而 Windows 需要该权限才能验证激活。如果没有对 Internet 的完全访问权限,此自动化过程会失败,并且显示此水印。

这个问题无关紧要,不会影响到您的练习。 

 

第 1 单元 - Service Composer 和 DFW 概述(45 分钟)

分布式防火墙 - 微分段概述


NSX 分布式防火墙 (DFW)是一个 hypervisor 内核嵌入式防火墙,可用于了解和控制虚拟化的工作负载和网络。您可以基于 VMware vCenter 对象(如数据中心和集群)、虚拟机名称、网络结构(如 IP 或 IPSet、VLAN [DVS 端口组]、VXLAN [逻辑交换机])以及 Active Directory (AD) 中的安全组和用户组身份来创建访问控制策略。您可以在每个虚拟机的虚拟网卡级别强制实施防火墙规则,以提供一致的访问控制,即使在虚拟机通过 vMotion 迁移期间也是如此。防火墙的 hypervisor 嵌入式特性提供接近线速的吞吐量,可以在物理服务器上获得更高的工作负载整合率。防火墙的分布性特征提供了一个横向扩展体系结构,该体系结构可在向数据中心中添加更多主机时自动延展防火墙功能。

微分段功能由 NSX 的分布式防火墙 (DFW) 组件提供支持。DFW 在 ESXi hypervisor 内核层运行,能以接近线速的速度处理数据包。每个虚拟机都有自己的防火墙规则和上下文。DFW 完全支持工作负载移动性 (vMotion),而且活动连接在迁移期间仍保持完好。这一先进的安全功能可将每个相关的虚拟机组隔离到不同的逻辑网段上,使管理员能够对数据中心网段之间的流量(东西向流量)进行防火墙保护,从而增强数据中心网络的安全性。这使攻击者不能在数据中心内横向移动。 

本单元的主要内容包括:

分布式防火墙的基本功能

改进了针对防火墙功能的 IP 发现机制

使用 Service Composer 在逻辑上应用安全保护

从桌面启动该单元。桌面是您在虚拟环境中的控制中心 Jumpbox。从此桌面上,您可以访问部署在您的虚拟数据中心内的 vCenter Server Appliance

特别声明:在桌面上,您将看到一个名为 README.txt 的文件。该文件包含用于练习中所有虚拟设备和虚拟机的用户帐户和密码。


 

关于分布式防火墙 - 微分段部分的用户通知

如果您已经完成练习 HOL-1703-SDC-1 的第 6 单元 - 分布式防火墙,请务必注意,本练习中名为分布式防火墙的这一部分与该单元重复,您无需再继续完成本练习中的这一部分。如果您想跳过这一部分并进入本练习的下一部分,请使用我们下方提供的链接直接跳过。

单击此处跳到改进了针对虚拟机和 SpoofGuard 的 IP 发现机制单元

 

 

 

键盘数据输入的替代方法

在本单元中,您将向主控制台中输入文本。除直接输入外,还有两种非常有用的数据输入方法,可简化输入复杂数据的过程。

 

 

单击,将练习手册内容拖放到控制台的活动窗口

 
 

也可以单击,将文本和命令行界面 (CLI) 命令直接从练习手册拖放到主控制台中的活动窗口。 

 

 

访问 vSphere Web Client

 

  1. 通过贴在桌面上的图标Google Chrome启动 vSphere Web Client。

 

 

登录 vSphere Web Client

 

如果您尚未登录 vSphere Web Client,请执行以下操作:

(主页应当是 vSphere Web Client。如果不是,请单击 vSphere Web Client 任务栏图标打开 Google Chrome。)

  1. 在User name(用户名)中输入administrator@vsphere.local
  2. 在Password(密码)中输入VMware1!
  3. 单击OK(确定)

 

 

配置 Web 应用访问权限相关规则

现在,您将配置 3 层应用的分布式防火墙访问权限。该应用有两个 Web 服务器,分别为应用服务器和数据库服务器。还有一个负载均衡器服务于这两个 Web 服务器。

 

 

使用 PuTTy 测试 3 层虚拟机到虚拟机的连接

 

接下来您将测试网段与构成 3 层应用的客户虚拟机之间的通信和访问。首先打开 web-sv-01a 的控制台,并对其他成员执行 ping 操作。

  1. 在桌面任务栏上,单击PuTTY快捷方式
  2. 选择web-01a.corp.local
  3. 单击Open(打开)

 

 

执行从 web-01a 到其他 3 层成员的 ping 操作

 

首先,输入以下代码以证明 web-01a可以对 web-02a执行 ping 操作:

ping -c 2 172.16.10.12

现在测试 web-01a、app-01a 和 db-01a 之间的连接性

ping -c 2 172.16.20.11
ping -c 2 172.16.30.11

(注意:您可能会在Ping行末尾看到DUP!。这是由于虚拟练习环境在虚拟路由器中使用嵌套虚拟化和混杂模式所致。在生产环境中不会看到这种情况。)

不要关闭该窗口,只将它最小化供以后使用。

 

 

使用 Web 浏览器演示 3 层应用

 

您将使用浏览器访问 3 层应用,以演示 3 个部分之间的功能。

  1. 打开一个新的浏览器选项卡
  2. 单击Customer DB App(客户数据库应用)书签

 

 

使用 Web 浏览器演示 3 层应用(续)

 

您应获得从 Web 层传递到 app-01a虚拟机并最终查询 db-01a虚拟机后返回的数据。

 

 

将默认防火墙策略从Allow(允许)改为Block(阻止)

 

在这一部分,您将把默认的Allow(允许)规则改为Block(阻止),并演示如何阻止与 3 层应用的通信。之后,您将创建新的访问规则,以便使用安全的方法重建通信。

 

 

检查默认规则

 

  1. 使用下拉箭头展开这一部分 

您将看到Rules(规则)带有绿色对勾。这表示启用了一条规则。规则以典型方式建立,即包含源、目标和服务字段等。服务是协议和端口的组合。

最后一条默认规则是基本的any-to-any-allow(任意-任意-允许)规则。

 

 

了解最后一条默认规则

 

滚动到右侧,将鼠标光标放在Action:Allow(操作: 允许)字段上后,您可以看到这条默认规则的Action(操作)选项。屏幕上将弹出一个铅笔符号,用于查看此字段的选项。

 

 

将最后一条默认规则的操作从Allow(允许)改为Block(阻止)

 

  1. 选择Block(阻止)操作选项并选中
  2. 单击Save(保存)

 

 

发布默认规则变更

 

您会注意到出现了一个绿色栏,告诉您现在需要选择Publish Changes(发布变更)、Revert Changes(还原变更)或Save Changes(保存变更)。将推送内容发布到 DFW。Revert(恢复)可取消编辑内容。Save Changes(保存变更)可以保存并在日后发布。

 

 

确认规则变更阻止了通信

 

使用之前的 PuTTY 和浏览器会话测试该阻止规则

 

 

确认规则阻止了使用 Web 浏览器的 https 访问

 

  1. 打开HOL Multi-Tier App(HOL 多层应用)对应的选项卡
  2. 刷新您的浏览器。您会收到一条错误消息。
  3. 单击 vSphere Web Client 对应的浏览器选项卡

 

 

创建 3 层安全组

 

  1. 单击Service Composer。

Service Composer 为在虚拟和云环境中使用网络和安全服务定义了一个新模型。通过简单的可视化以及使用由第三方解决方案内置或增强的服务,策略变得切实可行。可通过导出/导入功能重复这些相同的策略,这将有助于轻松解决环境中出现的问题并使其快速恢复。这些可重复使用的对象之一就是安全组。在后面名为Service Composer 和 DFW 概述的单元中,我们将深入介绍 Service Composer 和安全组。

 

 

添加安全组

 

  1. 选择Security Groups(安全组)。注意:可能已有一些要在另一个练习单元中使用的安全组
  2. 要添加新的安全组,请单击New Security Group(新建安全组)图标

 

 

新建安全组 - Web

 

  1. 将第一个组命名为Web-tier
  2. 单击Select objects to include(选择要包含的对象)部分。

 

 

选择要包含的对象

 

  1. 向下拉Object Types(对象类型)并选择Virtual Machines(虚拟机)
  2. 您可以通过在搜索窗口中输入web来进行筛选
  3. 选择web-01a
  4. 单击向右箭头,将虚拟机推送到Selected Objects(所选对象)窗口
  5. 针对 web-02a重复以上操作
  6. 单击Finish(完成)

注意:快捷方法是双击左侧的虚拟机,这样只需一个步骤就可将它们移动到右侧。

 

 

确认安全组的创建

 

您已创建一个分配有 2 个虚拟机的名为Web-tier(Web 层)的安全组。

 

 

创建 3 层访问规则

 

下一步,您将添加新的规则以允许访问 Web 虚拟机,然后在各层间设置访问权限。 

  1. 在左侧菜单中,选择Firewall(防火墙)。

 

 

创建新的防火墙部分

 

  1. 在Flow Monitoring  Trace Flow Rules-Disabled by Default (Rule 1)(流监控和跟踪流规则 - 默认情况下禁用 [规则 1])行的最右端,单击与文件夹图标看起来相似的Add Section(添加部分)图标

 

 

为 3 层应用添加新规则部分

 

  1. 将该部分命名为3-tier App
  2. 选择Add Section Above(添加以上部分)
  3. 单击Save(保存)

 

 

为新部分添加规则

 

  1. 在新的3-Tier App(3 层应用)部分对应的行上,单击Add rule(添加规则)绿色加号图标。

 

 

编辑新规则的名称

 

  1. 单击向下箭头以打开规则
  2. 将鼠标悬停在Name(名称)字段的右上角,直到出现铅笔图标,然后单击该铅笔图标

 

 

编辑新规则的名称(续)

 

  1. 输入Ext to Web作为名称
  2. 单击Save(保存)

 

 

设置规则的源和目标

 

Source(源):将规则源设置保留为any(任意)。

  1. 将鼠标指针悬停在Destination(目标)字段上,然后选择Destination(目标)铅笔符号。

 

 

设置安全组值

 

目标:

  1. 向下拉Object Type(对象类型)并向下滚动直至找到Security Group(安全组)
  2. 单击Web-tier(Web 层)
  3. 单击向上箭头将对象移动到右侧
  4. 单击OK(确定)

 

 

 

  1. 再次将鼠标光标悬停在Service(服务)字段上并单击铅笔符号

 

 

设置规则服务

 

在搜索字段中,您可以搜索服务模式匹配项。 

  1. 输入https并按 Enter 键,以查看与 https 名称相关的所有服务
  2. 选择简单的 HTTPS服务
  3. 单击向上箭头
  4. 注意:重复上面的步骤 1-3,找到并添加SSH。(您稍后会在单元中看到我们需要 SSH。)
  5. 单击OK(确定)

注意:这将导致出现一个绿色栏,其中包含发布变更或还原变更的选项。

暂且不要发布,因为还有更多规则要创建。

 

 

创建规则以允许 Web 安全组访问应用逻辑交换机

 

现在,您将添加第二条规则,以允许 Web 安全组通过应用端口访问应用安全组。 

  1. 首先打开铅笔符号
  2. 您希望在上一条规则之后处理这条规则,因此从下拉框中选择Add Below(加在下面)

 

 

创建第二条规则的名称和源字段

 

  1. 按照之前的操作,将鼠标光标悬停在Name(名称)字段上并单击出现的加号。输入Web to App作为名称
  2. 在Source(源)字段中选择Web-tier(Web 层)安全组

 

 

创建第二条规则的目标字段

 

  1. 将鼠标光标悬停在Destination(目标)字段上
  2. 单击铅笔图标进行编辑。

 

 

创建第二条规则的目标字段:选择逻辑网络

 

在第一条规则中,您使用Web-tier(Web 层)安全组作为目标。您可以采用相同方式处理其余规则。但是,正如您从下拉列表中看到的,您可以使用多个已定义的 vCenter 对象。vSphere 与 NSX 安全性集成能够大幅节省时间,其表现之一就是您可以对规则使用现有虚拟数据中心对象,而不必从头开始创建规则。这里您将使用一个 VXLAN 逻辑交换机作为目标。这将允许您创建一条规则以应用于挂接到此网络的任何虚拟机。

  1. 在Object Type(对象类型)下拉菜单向下滚动,并单击Logical Switch(逻辑交换机)选项
  2. 选择App_Tier-Logical_Switch
  3. 单击向上箭头将对象移动到右侧
  4. 单击OK(确定)

 

 

创建第二条规则的服务字段

 

  1. 将鼠标光标悬停在Service(服务)字段上并单击铅笔图标进行编辑。

 

 

创建第二条规则服务字段:新建服务

 

该 3 层应用在 Web 层和应用层之间使用 TCP 端口 8443。您将创建一项名为 MyApp 的新服务作为经过允许的服务。

  1. 单击New Service(新建服务)
  2. 输入MyApp作为新服务的名称
  3. 为Protocol(协议)选择TCP
  4. 输入8443作为端口号
  5. 单击OK(确定)

 

 

单击OK(确定)

 

 

 

创建第三条规则:允许逻辑交换机应用访问逻辑交换机数据库

 

重复以下步骤:在最后一条规则下自行创建第三条和最后一条规则,用于允许在应用层和数据库层之间进行访问。

  1. 创建最后一条规则,以允许应用逻辑交换机通过 MySQL 的预定义服务与数据库逻辑交换机通信。将预定义该服务,以便您只需搜索而无需创建它。

新规则应与示例中列出的规则相似。

  1. 发布变更

 

 

确认新规则允许 3-层应用通信

 

  1. 返回您先前用于Web App(Web 应用)的选项卡
  2. 刷新浏览器以指示您正在通过该 3 层应用获取数据。

新的3-Tier App(3 层应用)部分允许访问应用。

 

 

重启与 web-01a 的 PuTTY 会话

 

  1. 单击左上角的会话图标
  2. 单击Restart Session(重启会话)。

 

 

在层之间执行 ping 测试

 

尝试对 3 层应用客户虚拟机执行 ping 操作。

注意:请记得使用拖放功能。

web-02a

ping -c 2 172.16.10.12 

app-01a

ping -c 2 172.16.20.11

db-01a

ping -c 2 172.16.30.11

Ping 操作不被允许,并将失败,因为在您的规则中,各层之间或层成员之间不支持 ICMP。各层之间不支持 ICMP,则现在默认规则会阻止其他所有流量。

 

 

为该 3 层应用添加分布式防火墙后的拓扑

 

此图显示虚拟网卡级别防火墙的相关实施点。尽管 DFW 是 vSphere ESXi 主机的内核可加载模块 (KLM),但规则是在客户虚拟机的虚拟网卡上实施的。此保护功能在 vMotion 迁移期间随虚拟机移动,以提供完整的全程保护,不允许出现虚拟机易受攻击的机会。

 

 

单元清理

 

您需要将Default Rule(默认规则)重新设置为Allow(允许)才能继续学习下一单元。

  1. 将Default Rule(默认规则)的Action(操作)重新改为Allow(允许)
  2. 发布变更。

 

改进了针对虚拟机和 SpoofGuard 的 IP 发现机制


在与 vCenter Server 同步后,NSX Manager 将收集所有 vCenter 客户虚拟机的 IP 地址。如果某个虚拟机受到威胁,则其 IP 地址可能受到欺骗,从而使恶意传输内容能够绕过防火墙策略。

您可以为特定网络创建 SpoofGuard 策略,这使您能够为已报告的 IP 地址授权,并根据需要对这些地址进行修改以防止欺骗。SpoofGuard 在本质上将信任通过 VMX 文件和 vSphere SDK 收集到的虚拟机 MAC 地址。由于操作与防火墙规则分开,因此您可以使用 SpoofGuard 来阻止已确定受到欺骗的流量。

SpoofGuard 同时支持 IPv4 和 IPv6 地址。在使用 IPv4 时,SpoofGuard 策略支持分配给虚拟网卡的单个 IP 地址。IPv6 支持分配给虚拟网卡的多个 IP 地址。SpoofGuard 策略可以通过以下模式之一监控和管理您的虚拟机所报告的 IP 地址:

此模式允许来自您的虚拟机的所有流量通过,同时构建虚拟网卡到 IP 地址分配表。我们可以在方便时审查此表,并进行 IP 地址变更。此模式将自动批准虚拟网卡上的所有 ipv4 和 ipv6 地址。

此模式将阻止所有流量,直到批准每个虚拟网卡到 IP 地址分配为止。

请注意:无论启用哪种模式,SpoofGuard 在本质上都允许 DHCP 请求。不过,如果处于手动检查模式,则流量不会通过,直到批准 DHCP 分配的 IP 地址为止。

SpoofGuard 包括一项由系统生成的默认策略,它应用于未被其他 SpoofGuard 策略涵盖的端口组和逻辑网络。新添加的网络将被自动添加到默认策略,直到管理员将该网络添加到现有策略或者为其创建新策略为止。

NSX 分布式防火墙操作需要发现被指定为源或目标的对象的 IP 地址。在 NSX 6.2 之前,这项任务通过虚拟机内部的 VMtools 来完成。本练习将向您演示如何在没有 VMtools 的情况下发现 IP 地址。本练习中使用的虚拟机 linux-01a没有安装 VMtools,因此如果不使用新功能,NSX 分布式防火墙将无法发现对象的 IP 地址。


 

检查 SpoofGuard 设置

 

单击 vSphere Web Client 对应的浏览器选项卡

  1. 单击Home(主页)图标
  2. 单击Networking  Security(网络连接和安全性)

 

 

了解 SpoofGuard

 

  1. 在导航器中单击SpoofGuard

 

 

了解 SpoofGuard 策略和状态

 

SpoofGuard 窗口中有多个信息区域,可用于确定 SpoofGuard 的状态。

A. IP Detection Type(IP 检测类型)。如前所述,SpoofGuard 默认使用 VMTools 来确定虚拟机的 IP 地址。但是,您也可以添加 DHCP Snooping 和 ARP Snooping 作为确定 IP 地址的方法。如果虚拟机未加载 VMTools,就需要使用这种方法。目前的练习环境设置为None(无),这表示只是在使用 VMTools。

B. Policies(策略)。有一条即时可用的Default Policy(默认策略),适用于所有网络。您可以自行创建将应用于选定网络的策略。在列表中包含多个策略的情况下,单击某个特定策略将会引出下一部分。

C. View(视图)。您可以通过该下拉菜单从所显示的活动虚拟网卡中进行选择,以便通过多个便利的视图管理对虚拟机清单的访问。

D. Data(数据)。该窗格将显示您在上面选择的View(视图)的结果。显示的内容有虚拟网卡、MAC 地址、虚拟机名称、检测到的 IP 地址、源(检测方法:VMTools、DHCP 和 ARP)和操作。

 

 

筛选 Linux 虚拟机

 

  1. 将View(视图)改为Active Virtual NICs Since Last Published(自上次发布后的活动虚拟网卡)。
  2. 在搜索字段中输入lin,然后按 Enter 键。

此时,SpoofGuard 未检测到 linux-01a.corp.local 虚拟机。原因在于,该虚拟机没有加载 VMTools,而且 SpoofGuard 目前没有使用任何其他检测方法。

 

 

搜索 linux-01a 虚拟机

 

  1. 在右上角的搜索字段中输入lin,搜索整个虚拟数据中心。
  2. 单击虚拟机linux-01a.corp.local。

 

 

查看虚拟机数据并启动远程控制台

 

注意,如果未安装 VMware Tools,将无法查看与该虚拟机的 IP 地址有关的任何数据。

  1. 单击Launch Remote Console(启动远程控制台)以打开 linux-01a 的控制台。

 

 

登录虚拟机 linux-01a

 

  1. 在窗口内单击鼠标,将键盘焦点设置到窗口中。
  2. 按 Enter 键以获得输入响应。
  3. 输入root作为用户名。
  4. 输入VMware1!作为密码,然后按 Enter 键

 

 

查看 linux-01a 的 IP 地址

 

  1. 输入ifconfig以获取虚拟机的 IP 信息。

该虚拟机的 IP 地址是 192.168.120.115。

 

 

对 linux-01a 的网关执行 Ping 操作

 

输入ping -c 2 192.168.120.1并按 Enter 键,以便对 linux-01a 的网关执行 ping 操作。

ping -c 2 192.168.120.1

您将会收到 ping 响应。

 

 

返回至 vSphere Web Client

 

  1. 使用 Control+Alt 键击命令解除虚拟机远程控制台的控制。
  2. 单击vSphere Web Client选项卡

 

 

返回 SpoofGuard

 

  1. 单击Back(返回)按钮。

 

 

查看 SpoofGuard 的状态

 

  1. 将View(视图)设置为Active Virtual NICs Since Last Published(自上次发布后的活动虚拟网卡)。
  2. 再次搜索 lin

注意,即便已经生成 Ping 流量,您仍然看不到 linux-01a。

 

 

更改 IP 检测类型

 

  1. 单击Change(更改)按钮。
  2. 选中ARP Snooping框。
  3. 单击OK(确定)。

 

 

编辑默认策略

 

注意,IP Detection Type(IP 检测类型)已更改为ARP。

  1. 单击铅笔图标以编辑默认策略。

 

 

启用默认策略

 

  1. 单击Enabled(启用)单选按钮
  2. 单击Manually inspect and approve all IP assignment before use(在使用之前手动检查并批准所有 IP 分配)单选按钮
  3. 单击Finish(完成)。

 

 

返回 linux-01a 的 VMRC

 

  1. 按向上箭头键以重新执行 ping 命令。

注意,您的丢包率已达 100%。 

  1. 使用 Control+Alt解除 VMRC 窗口的控制。

 

 

返回 vSphere Web Client

 

  1. 将View(视图)更改为Virtual NICs IP Required Approval(需要批准的虚拟网卡 IP)。
  2. 搜索 lin

注意,linux-01a 现已显示,且是通过 ARP(源)发现的。

  1. 滚动至右侧。

 

 

批准虚拟机 linux-01a 的 IP

 

注意,Linux 虚拟机已通过 ARP Snooping 被发现。

  1. 单击Approve(批准)。

 

 

发布 IP 批准变更

 

  1. 单击Publish Changes(发布变更)。

 

 

重新尝试对虚拟机 Linux-01a 的网关执行 Ping 操作

 

  1. 按向上箭头键以重新执行 Ping 命令。

您将看到,linux-01a 的 IP 现已经过批准且能够进行通信。

 

 

编辑 SpoofGuard 策略以清理课程步骤

 

您需要禁用 SpoofGuard 才能继续学习本单元。

  1. 单击铅笔图标以编辑默认策略。

 

 

禁用 SpoofGuard 默认策略

 

  1. 单击Disabled(禁用)单选按钮。
  2. 单击Finish(完成)。

 

 

SpoofGuard 总结

改进了针对虚拟机和 SpoofGuard 的 IP 发现机制部分到此结束。我们成功利用 SpoofGuard 在未安装 VMware Tools 的情况下了解了虚拟机的 IP 地址,并管理了它对网络的访问。

 

安全组概述


现在,我们详细介绍下分布式防火墙 - 微分段概述中介绍的安全组功能。NSX 安全组可用来对您想要保护的资产进行逻辑分组和定义。安全组可以是静态的(包括具体的虚拟机),也可以是动态的,其成员可能通过以下一种或多种方式定义:

注意,安全组成员会不断变化。例如,标记有 AntiVirus.virusFound 标记的虚拟机将被移到隔离安全组。当病毒清除且该标记从虚拟机移除后,该虚拟机将再次移出隔离安全组。


 

访问 Service Composer

 

  1. 单击左侧面板上的Service Composer。

 

 

创建 Web 安全组

 

  1. 在Services Composer中单击Security Groups(安全组)选项卡。
  2. 单击New Security Group(新建安全组)图标。
  3. 在Name(名称)对话框中输入Web Security Group。
  4. 单击Next(下一步)。

 

 

了解对象列表

 

  1. 打开Object(对象)下拉框

您将看到,您可以使用Computer OS Name(计算机操作系统名称)、Computer Name(计算机名称)、VM Name(虚拟机名称)、Security Tag(安全标记)或Entity(实体)。如果使用Entity(实体),您将能从 vCenter 的大量元素中进行挑选,包括资源池、Directory 域组、逻辑交换机、分布式端口组等。

 

 

了解对象成员条件列表

 

条件选项将因选择的对象类型而异。 

 

 

定义动态成员

 

  1. 从第一个Criteria Details(条件详情)下拉列表中选择VM Name(虚拟机名称)。
  2. 确认页面中间的下拉列表中选择的是Contains(包含)。
  3. 在对话框中输入web。
  4. 单击Finish(完成)。

 

 

查看成员

 

  1. 单击与新的Web Security Group(Web 安全组)相关的Virtual Machine(虚拟机)列中的数字。

注意:Web Security Group(Web 安全组)的Virtual Machine(虚拟机)列中的数字应为 6,包括名称中含有WEB的所有虚拟机,不考虑是否大写或使用 IP 网络。

  1. 单击对话框右上角的 X以将其关闭。

 

安全策略概述


NSX 安全策略可以是以下服务配置的集合:防火墙规则、端点服务和网络自检服务。防火墙规则可包括用于定义允许流入或流出安全组或在安全组内移动的流量的规则。端点服务可以是 NSX Data Security 服务或第三方解决方案提供商服务,例如防病毒或漏洞管理服务。网络自检服务是指用于监控网络的服务,如 IPS。

在 NSX 中实施服务期间,第三方供应商可为实施的服务选择服务类别。我们会针对每个供应商模板创建默认的服务配置文件。

注意当您需要将同一安全策略挂接到多个安全组时,请创建包含所有这些子安全组的总安全组,并对其应用通用的安全策略。这样可以确保 NSX 分布式防火墙高效利用 ESXi 主机内存。


 

创建新的安全策略

 

  1. 在Service Composer面板中选择Security Policies(安全策略)选项卡
  2. 单击Create Security Policy(创建安全策略)图标
  3. 在Name(名称)字段中输入Block Web-to-Web Traffic
  4. 在左侧面板中单击Firewall Rules(防火墙规则)

 

 

创建新的防火墙规则

 

  1. 单击绿色加号图标以添加一个新的防火墙规则
  2. 在Name(名称)字段中输入Block Web-to-Web Traffic
  3. 从Action(操作)列表中选择Block(阻止)
  4. 单击Destination: Any(目标: 任意)右侧的Change...(更改...)

 

 

防火墙规则 - 选择目标

 

  1. 选择选项列表顶部的Policy's Security Group(策略所在的安全组)
  2. 单击OK(确定)

注意:我们将把该安全策略应用到策略所在的安全组,该安全组现已被定义为我们防火墙规则的源和目标。

 

 

单击OK(确定)

 

  1. 单击OK(确定)

 

 

完成安全策略的定义

 

  1. 单击Finish(完成)

 

 

将安全策略应用到安全组

 

  1. 突出显示Block Web-to-Web Traffic安全策略
  2. 单击Apply Security Policy(应用安全策略)图标
  3. 选择Web Security Group(Web 安全组)
  4. 单击OK(确定)

 

 

确认安全策略的应用情况

 

  1. 确认Sync Status(同步状态)列已更改为Successful(成功)
  2. 确认Applied to(应用至)列中显示1
  3. 确认Firewall Rules(防火墙规则)列中显示1

该信息将确认我们的规则已与 NSX 中的防火墙规则成功同步,并已正确应用到安全组。

 

 

确认防火墙规则的同步情况

 

  1. 单击Firewall(防火墙)

 

 

查看 Service Composer 防火墙规则

 

  1. 展开防火墙部分Block Web-to-Web Traffic,确认规则已创建

 

 

发布变更

 

  1. 单击Publish Changes(发布变更)。

 

 

使用 PuTTY 测试 Web 虚拟机之间的连接

 

接下来,我们将测试构成 3 层应用的 Web 虚拟机之间的通信和访问。第一项测试是,打开 web-01a 的控制台并对 web-02a 执行 ping 操作。

  1. 在桌面任务栏上,单击PuTTY快捷方式
  2. 选择web-01a.corp.local
  3. 单击Open(打开)

 

 

从 web-01a 向 web-02a 执行 Ping 操作

 

首先,输入以下代码以证明 web-01a不能对 web-02a执行 ping 操作。

  1. 对 web-02a 执行 ping 操作。
ping -c 2 web-02a

根据安全策略,Web 虚拟机之间的 ping 操作将会失败。

 

查看 Service Composer 画布


Service Composer 提供了一个画布视图,用以显示选定 NSX Manager 中的所有安全组。该视图还会显示一些详细信息,例如每个安全组的成员以及应用于该安全组的安全策略。

本主题将通过讲解一个部分配置的系统来介绍 Service Composer,以便您能通过画布视图概要地直观了解安全组和安全策略对象之间的对应关系。


 

Service Composer 画布的图形视图

 

 

  1. 单击Canvas(画布)选项卡

将显示所选 NSX Manager 中的所有安全组(不包含在另一个安全组中)以及应用于这些安全组的策略。NSX Manager 下拉列表会列出当前登录的用户在其上分配有角色的所有 NSX Manager。

画布中的每个矩形框都代表着一个安全组,框中的图标则表示安全组成员以及有关该安全组对应的安全策略的详情。

 

 

 

已应用的安全策略

 

每个图标旁边的数字表示实例数量 - 例如,Security Policy(安全策略)图标旁边的数字 1 表示有一个策略与该安全组对应

 

 

嵌套的安全组

 

Security Groups(安全组)图标嵌套在主安全组中。您的安全组中没有嵌套的组。

 

 

有效的虚拟机成员

 

  1. 单击画布左下角的Virtual Machine(虚拟机)图标。
  2. 关闭窗口

窗口中显示的是目前属于主安全组和嵌套安全组的虚拟机。如果我们的任何虚拟机出现服务错误,我们可以单击Errors(错误)选项卡,查看这些虚拟机。

 

 

与安全组对应的有效安全策略

 

  1. 单击画布右上角的Security Policy(安全策略)图标。

可选操作:

  1. 关闭窗口。

 

 

有效的客户机自检服务

 

  1. 单击Guest Introspection Services(客户机自检服务)图标,显示与安全组对应的安全策略关联的服务。

假设您的安全组应用了两个策略,而且它们都配置了相同的类别端点服务。在这种情况下,有效服务数将为 1(因为第二个优先级较低的服务会被覆盖)。

注意:客户机自检服务故障(如果有)将显示在Errors(错误)选项卡中。单击Errors(错误)图标可显示问题。

  1. 关闭窗口。

 

 

有效的防火墙规则

 

  1. 单击Firewall rules(防火墙规则)图标,显示与安全组对应的安全策略关联的防火墙规则。
  2. 关闭窗口。

 

 

有效的网络自检服务

 

  1. 单击Network Introspection Services(网络自检服务)图标,显示与安全组对应的安全策略关联的服务。

注意:再次申明,网络自检服务故障(如果有)将显示在Errors(错误)选项卡中。单击Errors(错误)图标可显示问题。

  1. 关闭窗口。

 

 

搜索安全组

 

  1. 在画布窗口右上角的搜索字段中输入Web,仅显示名称中带Web的安全组。

 

 

查看安全组层次结构

 

  1. 单击窗口左上角的Top Level(顶层)图标
  2. 单击Web Security Group(Web 安全组)

我们将能看到安全组层次结构,以及安全组是否包含嵌套的安全组

 

 

查看父安全组服务

 

顶栏将显示父安全组的名称,栏中的图标将显示适用于该父安全组的安全策略、端点服务、防火墙服务和网络自检服务的总数量。

  1. 我们可以通过单击窗口左上方蓝色的上一级箭头图标导航回顶层。

 

 

流畅地放大和缩小画布视图

 

您可以通过移动窗口右上角的缩放滑块来流畅地放大和缩小画布视图。导航器框将显示整个画布的缩小视图。如果画布比屏幕适用尺寸大很多,系统将在实际显示的区域周围显示一个框,您可以移动该框以更改显示的画布部分。

 

第 1 单元 - 小结


关于 Service Composer 和分布式防火墙的第 1 单元到此结束。我们已经创建了静态和动态安全组、应用了静态和动态安全策略(包括防火墙规则),还使用 SpoofGuard 发现了未运行 VMTools 的虚拟机并允许其访问网络。


 

您已完成第 1 单元的学习

祝贺您!您已经完成了第 1 单元的学习。

如果您想了解有关 NSX 路由功能和配置的其他信息,请通过以下 URL 查看 NSX 6.2 文档中心:

继续学习以下您最感兴趣的任意一个单元:

练习单元列表:

练习负责人:

 

 

如何结束练习

 

要结束练习,请单击END(结束)按钮。

 

第 2 单元 - 合并 3 层应用功能讲解示范(15 分钟)

使用 NSX 的分布式防火墙功能保护合并的体系结构


在本单元,您将了解 NSX 中的分布式防火墙 (DFW) 功能如何使客户将传统的多层网络体系结构合并到单个扁平网络中,同时保持应用隔离。这对摒弃以网络为中心的安全方法并采用以工作负载为中心的方法至关重要。您将使用位于同一个逻辑交换机和子网中的两个不同的应用(HR 和财务)。  

然后,您将配置并测试以下内容:

完成本练习单元后,您就已经证实 NSX DFW 保护了应用并将其彼此隔离,同时允许应用内通信在同一网络基础架构上正常进行。 


 

查看示例网络体系结构

 

在将 3 层应用网络合并到单个网络中之前,我们来看一个 3 层应用示例,该应用被分割成单独的子网,以便在 Web、应用和数据库层之间实现第 3 层隔离。务必注意,我们缺少安全防火墙规则,无法保护驻留在同一第 2 层域上的虚拟机之间甚至应用层之间的通信。当组织开始横向扩展大量多层工作负载时,可以选择部署更多子网或在同一第 2 层域上部署应用组件(例如不同应用中的数据库)。 

例如,组织可能有多个应用的数据库组件驻留在DB-Tier(数据库层)网络上。传统防火墙无法保护这些数据库之间的通信。这可能会使已获批访问某个数据库虚拟机的某个人能够访问同一网络上的其他数据库。借助 NSX 的 DFW,组织能将整个网络结构合并到单个第 2 层网段中,并提供应用内功能及应用间应用隔离。

 

 

查看合并的网络拓扑

 

为节省时间,我们已经创建了名为 Collapsed_Logical_Switch且子网为 172.16.60.0/24 的逻辑交换机。我们已将两个多层应用(HR 与财务)迁移到该子网中。此网络目前未实施任何安全策略。

一旦确认与 HR 和财务应用相关的虚拟机间存在通信,您就需要创建安全组,以在逻辑上应用防火墙规则,进而保护和控制它们之间的通信。

 

 

访问 vSphere Web Client

 

  1. 在主控制台窗口中单击Google Chrome快捷方式。

 

 

登录 vSphere Web Client

 

如果您尚未登录 vSphere Web Client,请执行以下操作:

(主页应当是 vSphere Web Client。如果不是,请单击 vSphere Web Client 任务栏图标打开 Google Chrome。)

  1. 在User name(用户名)中输入administrator@vsphere.local
  2. 在Password(密码)中输入VMware1!
  3. 单击OK(确定)

 

 

访问Networking Security(网络连接和安全性)UI

 

  1. 单击Networking  Security(网络连接和安全性)。

 

 

导航至逻辑交换机

 

  1. 单击左侧菜单中的Logical Switches(逻辑交换机)。
  2. 双击Collapsed_Logical_Switch(网段 ID - 5004)。

 

 

查看已连接的虚拟机

 

  1. 单击Virtual Machines(虚拟机)选项。

您应该能看到 HR 和财务应用中的虚拟机:fin-db-01a.corp.local、fin-app-01a.corp.local、fin-web-01a.corp.local、hr-web-01a.corp.local、hr-db-01a.corp.local hr-app-01a.corp.local

 

 

确认财务应用正在运行

 

  1. 在 Chrome 中打开一个新标签页
  2. 单击Finance_App书签。

确认您正在访问的是财务部成本中心数据库。您应该会收到来自 fin-web-01a 的数据。

 

 

验证 HR 应用

 

  1. 在 Chrome 中打开一个新标签页
  2. 单击HR_App书签。

确认您正在访问的是医疗注册数据库。

 

 

启动虚拟机 fin-web-01a 的远程控制台

 

  1. 单击 vSphere Web Client 对应的选项卡。
  2. 单击fin-web-01a.corp.local。
  3. 单击Summary(摘要)选项卡。
  4. 单击Launch Remote Console(启动远程控制台)。

 

 

登录虚拟机 fin-web-01a

 

当 VMRC 窗口首次打开时,它将显示为黑色。在窗口内单击,按几次 Enter 键,就能使控制台从屏幕保护程序中显示出来。

  1. 使用用户名root登录。
  2. 输入密码VMware1!。

 

 

在财务 Web 虚拟机与各 HR 应用虚拟机之间执行 ping 测试

 

我们现在要测试 HR 和财务应用之间的通信,具体做法是输入以下命令,从 fin-web-01ahr-web-01ahr-db-01a发送 ping:

  1. ping -c 3 hr-web-01a
# ping -c 3 hr-web-01a
  1. ping -c 3 hr-db-01a
# ping -c 3 hr-db-01a

我们已证实 HR 和财务应用虚拟机可以相互通信。这并不是理想的安全模式。例如,具有 HR 访问权限的用户现在可以更轻松地访问财务应用组件。

注意:要从远程控制台窗口中释放光标,请按 Ctrl+Alt组合键。

 

 

返回 vSphere Web Client 会话

 

  1. 单击任务栏上的vSphere Web Client浏览器图标

 

 

启动虚拟机 hr-db-01a 的远程控制台

 

  1. 单击hr-db-01a.corp.local
  2. 单击Summary(摘要)
  3. 单击Launch Remote Console(启动远程控制台)

注意:启动远程控制台,我们必须在虚拟机的Summary(摘要)选项卡上进行操作,并且如果未默认选中Summary(摘要)选项卡,可能还需要单击它。

 

 

登录虚拟机 hr-web-01a

 

当 VMRC 窗口首次打开时,它将显示为黑色。在窗口内单击,按几次 Enter 键,就能使控制台从屏幕保护程序中显示出来。

  1. 使用用户名root登录
  2. 输入密码VMware1!

 

 

在 HR 虚拟机与各财务应用虚拟机之间执行 ping 测试

 

我们现在要测试 HR 和财务应用之间的通信,具体做法是输入以下命令,从 hr-db-01afin-app-01afin-db-01a发送 ping:

  1. ping -c 3 fin-app-01a
# ping -c 3 fin-app-01a
  1. ping -c 3 fin-db-01a
# ping -c 3 fin-db-01a

我们已证实 HR 和财务应用虚拟机可以相互通信。为在合并的应用层上启用应用隔离,接下来我们将配置分布式防火墙和安全组以阻止通信。

注意:要从远程控制台窗口中释放光标,请按 Ctrl+Alt组合键。

 

 

返回 vSphere Web Client

 

  1. 单击任务栏上的vSphere Web Client浏览器图标。

 

 

返回Networking Security(网络连接和安全性)

 

  1. 单击Back(后退)按钮,返回至Networking  Security(网络连接和安全性)。

 

 

访问防火墙配置

 

  1. 从左侧的导航器菜单中单击Firewall(防火墙)。

 

 

添加新部分

 

  1. 单击防火墙配置规则第一行中带绿色加号的文件夹图标。

 

 

为新的防火墙部分命名

 

  1. 输入Collapsed App Tier Rules作为新部分的名称。
  2. 单击Add Section Above(添加以上部分)按钮。
  3. 单击Save(保存)。

注意:暂且不要发布变更。

 

 

创建新的防火墙规则

 

  1. 单击新的Collapsed App Tier Rules(合并的应用层规则)部分标题右侧的绿色加号图标,以添加新的防火墙规则。

 

 

打开新规则

 

  1. 单击小三角以向下展开Collapsed App Tier Rules(合并的应用层规则)部分。
  2. 将鼠标悬停在Name(名称)框的右侧,然后单击铅笔图标以编辑新规则的名称。

 

 

将规则命名为Block HR to Finance Traffic

 

  1. 在Rule Name(规则名称)字段中输入Block HR to Finance Traffic。
  2. 单击Save(保存)。

 

 

编辑源对象

 

  1. 单击Edit(编辑)或铅笔图标以编辑源对象。

 

 

创建 HR 应用安全组

 

  1. 从Object Type(对象类型)下拉菜单中,选择Security Group(安全组)。
  2. 单击New Security Group(新建安全组)以定义 HR 应用安全组。

 

 

为 HR 应用安全组命名

 

  1. 在该安全组的Name(名称)字段中输入HR App。
  2. 单击Next(下一步)。

 

 

定义动态成员

 

  1. 从Criteria Details(条件详情)下拉菜单中选择VM Name(虚拟机名称)。
  2. 在文本字段中输入hr,以为设定虚拟机名称的条件。
  3. 单击Finish(完成)。

注意:我们将Criteria Details(条件详情)中间的下拉菜单保留为Contains(包含),以指定包含字母hr虚拟机名称,从而找出练习环境中所有的 HR 虚拟机。

 

 

确认已选择HR App(HR 应用)

 

  1. 确认已将新的HR App(HR 应用)安全组添加到Selected Objects(所选对象)。
  2. 单击OK(确定)。

 

 

编辑目标对象

 

  1. 单击Edit(编辑)或铅笔图标以编辑目标对象

 

 

创建财务应用安全组

 

  1. 从Object Type(对象类型)下拉菜单中,选择Security Group(安全组)。
  2. 单击New Security Group(新建安全组)以定义 HR 应用安全组。

 

 

为财务应用安全组命名

 

  1. 在该安全组的Name(名称)字段中输入Finance App。
  2. 单击Next(下一步)。

 

 

定义动态成员

 

  1. 从Criteria Details(条件详情)下拉菜单中选择VM Name(虚拟机名称)。
  2. 在文本字段中输入fin,以设定虚拟机名称的条件。
  3. 单击Finish(完成)。

注意:我们将Criteria Details(条件详情)中间的下拉菜单保留为Contains(包含),以指定包含字母fin虚拟机名称,从而找出练习环境中所有的财务虚拟机。

 

 

确认已选择Finance App(财务应用)

 

  1. 确认已将新的Finance App(财务应用)安全组添加到Selected Objects(所选对象)。
  2. 单击OK(确定)。

 

 

确认 HR 应用的虚拟机成员

 

  1. 单击防火墙规则的Source(源)字段中的HR App(HR 应用)名称,以显示该安全组的虚拟机成员。

确认您看到名称中带有hr的所有虚拟机都已列出,如图所示。

  1. 单击窗口右上角的X将其关闭。

 

 

确认财务应用的虚拟机成员

 

  1. 单击防火墙规则的Destination(目标)字段中的Finance App(财务应用)名称,以显示该安全组的虚拟机成员。

确认您看到名称中带有fin的所有虚拟机都已列出,如图所示。

  1. 单击窗口右上角的X将其关闭。

 

 

编辑操作设置

 

  1. 将鼠标悬停在防火墙规则的Action(操作)单元格右侧,然后单击铅笔图标以编辑操作。

 

 

选择阻止操作

 

  1. 从Action(操作)下拉菜单中,选择Block(阻止)。
  2. 单击Save(保存)。

 

 

添加新的防火墙规则

 

  1. 单击Collapsed App Tier Rules(合并的应用层规则)部分的绿色加号图标,以添加新的规则。

 

 

编辑规则名称

 

  1. 将鼠标悬停在Name(名称)框的右侧,然后单击铅笔图标以编辑新规则的名称。

 

 

将规则命名为Block Finance to HR Traffic

 

  1. 在Rule Name(规则名称)字段中输入Block Finance to HR Traffic。
  2. 单击Save(保存)。

 

 

编辑源对象

 

  1. 单击Edit(编辑)或铅笔图标以编辑源对象。

 

 

选择财务应用安全组

 

  1. 从Object Type(对象类型)下拉菜单中,选择Security Group(安全组)。
  2. 选择Finance App(财务应用)安全组。
  3. 单击蓝色箭头图标以将该对象移动到Selected Objects(所选对象)列表中。
  4. 单击OK(确定)。

 

 

编辑目标对象

 

  1. 单击铅笔图标以编辑目标对象。

 

 

选择 HR 应用安全组

 

  1. 从Object Type(对象类型)下拉菜单中,选择Security Group(安全组)。
  2. 选择HR App(HR 应用)安全组。
  3. 单击蓝色箭头图标将该对象移动到Selected Objects(所选对象)列表中。
  4. 单击OK(确定)。

 

 

编辑操作设置

 

  1. 将鼠标悬停在防火墙规则的Action(操作)单元格右侧,然后单击铅笔图标以编辑操作。

 

 

选择阻止操作

 

  1. 从Action(操作)下拉菜单中,选择Block(阻止)。
  2. 单击Save(保存)。

 

 

发布变更

 

  1. 单击Publish Changes(发布变更),以将新的防火墙规则部署到受影响的虚拟机和主机。

 

 

验证Collapsed App Tier Rules(合并的应用层规则)

 

  1. 单击小三角以向下展开Collapsed App Tier Rules(合并的应用层规则)部分。
  2. 在将规则发布到练习环境之前,新的防火墙规则没有Rule ID(规则 ID)。

注意:您的规则编号可能不尽相同,这具体取决于您学习练习单元的顺序。

 

 

确认财务应用正在运行

 

  1. 单击HOL- Finance Department(HOL 财务部门)选项卡
  2. 单击Refresh(刷新)按钮。

确认您正在访问的是财务部成本中心数据库。

 

 

返回以打开财务 Web 虚拟机的远程控制台

 

我们已经部署了新的防火墙规则,现在,我们将测试各虚拟机应用之间的通信。

  1. 单击任务栏上的fin-web-01a.corp.local远程控制台会话。

 

 

在财务 Web 虚拟机与各 HR 应用虚拟机之间执行 ping 测试

 

我们将先测试财务 Web 虚拟机和 HR 应用虚拟机之间的通信,具体做法是输入以下命令,从 fin-web-01ahr-web-01ahr-db-01a发送 ping:

  1. ping -c 3 hr-web-01a
# ping -c 3 hr-web-01a
  1. ping -c 3 hr-db-01a
# ping -c 3 hr-db-01a

100% packet loss(100% 丢包率)表示财务 Web 虚拟机无法与位于同一第 2 层网络上的 HR 应用虚拟机进行通信。

 

 

在各财务应用虚拟机之间执行 ping 测试

 

接下来,我们将验证各财务应用虚拟机之间的通信,具体做法是输入以下命令,从 fin-web-01afin-app-01afin-db-01a发送 ping:

  1. ping -c 3 fin-app-01a
# ping -c 3 fin-app-01a
  1. ping -c 3 fin-db-01a
# ping -c 3 fin-db-01a

100% success rate(100% 成功率)表示同一第 2 层网络上的所有财务虚拟机都可以相互通信。

注意:要从远程控制台窗口中释放光标,请按 Ctrl+Alt组合键。

 

 

验证 HR 应用

 

  1. 单击HR-Medical Enrollment(HR 医疗注册)选项卡
  2. 单击Refresh(刷新)按钮。

确认您正在访问的是医疗注册数据库。

 

 

返回 HR 数据库虚拟机的远程控制台

 

  1. 单击任务栏上的hr-db-01a.corp.local远程控制台会话。

 

 

在 HR 数据库虚拟机与各财务应用虚拟机之间执行 ping 测试

 

现在,我们要测试 HR 数据虚拟机和财务应用虚拟机之间的通信,具体做法是输入以下命令,从 hr-db-01afin-app-01afin-db-01a发送 ping:

  1. ping -c 3 fin-app-01a
# ping -c 3 fin-app-01a
  1. ping -c 3 fin-db-01a
# ping -c 3 fin-db-01a

注意:100% packet loss(100% 丢包率)表示财务 Web 虚拟机无法与位于同一第 2 层网络上的各 HR 应用虚拟机进行通信。

 

 

在各 HR 应用虚拟机之间执行 ping 测试

 

最后,我们将验证各 HR 应用虚拟机之间的通信,具体做法是输入以下命令,从 hr-db-01ahr-web-01ahr-app-01a发送 ping:

  1. ping -c 3 hr-web-01a
# ping -c 3 hr-web-01a
  1. ping -c 3 hr-app-01a
# ping -c 3 hr-app-01

您将能够在各应用层之间产生流量。

  1. 关闭 hr-db-01a 的控制台窗口。注意:要从远程控制台窗口中释放光标,请按 Ctrl+Alt组合键。

我们通过分布式防火墙对应用隔离进行的验证到此结束。尽管 HR 应用和财务应用驻留在同一第 2 层逻辑交换机上,但我们已经阻止两者之间进行通信。 

 

 

继续学习下一个练习单元之前的练习清理

 

在继续学习下一个练习单元之前,我们必须先清理防火墙规则。   

  1. 单击vSphere Web Client浏览器选项卡。

 

 

删除Collapsed App Tier Rules(合并的应用层规则)部分

 

  1. 单击Collapsed App Tier Rules(合并的应用层规则)部分右侧的红色X,以删除整个部分。

 

 

确认删除规则部分

 

  1. 单击Yes(是)继续删除该规则部分。

 

 

发布变更

 

  1. 单击Publish Changes(发布变更),以保存对防火墙规则做出的更改,并从应用虚拟机中删除防火墙规则。

 

第 2 单元 - 小结


现在,我们完成了第 2 单元的学习,本单元以引导的方式为您讲解示范了如何通过 NSX 分布式防火墙 (DFW) 隔离单个扁平网络上的应用。在本单元中,我们还展示了将 3 层网络应用合并到单个 NSX 逻辑交换机中为何不会影响 NSX 通过分布式防火墙提供零信任安全的方式。在本练习中,我们首先验证了位于同一网络上的 HR 和财务应用虚拟机之间的通信。然后,我们创建了防火墙规则并对虚拟机进行逻辑分组,以保护和阻止 HR 和财务应用之间的通信,并且还通过测试应用体系之间以及内部的虚拟机通信,对我们所创建的规则的实施情况进行了验证。在确认应用相互隔离之后,我们删除了防火墙规则,以准备学习本练习的其他单元。

希望您喜欢有关 NSX DFW 的应用隔离和零信任功能的学习。


 

您已完成第 2 单元的学习

祝贺您!您已经完成了第 2 单元的学习。

如果您想了解有关 NSX 路由功能和配置的其他信息,请通过以下 URL 查看 NSX 6.2 文档中心:

继续学习以下您最感兴趣的任意一个单元:

练习单元列表:

练习负责人:

 

 

如何结束练习

 

要结束练习,请单击END(结束)按钮。

 

第 3 单元 - 智能分组(30 分钟)

智能分组


第 3 单元 智能分组


 

简介

Windows XP、Windows 2000 Server 和 Windows Server 2003 等主要企业级平台终止支持 (EOS)对于在日常业务中运行关键任务应用的组织来说是一项重大挑战。例如,2015 年 7 月,Microsoft 停止为 Windows 2003 提供支持,使得数百万的企业服务器面临险境。

除非充分准备好迁移到新平台或具有适当的补偿性控制措施,否则使用 EOS 操作系统的组织很可能会为其环境带来严重的安全风险。黑客们知道,Microsoft 等平台提供商将不再确认或修补漏洞,因此这些系统快速成为他们最喜欢的攻击目标。随着时间的推移,在 EOS 后运行不受支持的平台所面临的风险也将不断增加,因为越来越多的问题会被发现而得不到修补。

NSX 可通过分布式防火墙 (DFW) 和 Service Composer 增强安全性,从而帮助减轻 EOS 操作系统引发的问题。在本练习中,您将在模拟环境中使用 NSX 安全组来集结 Windows XP 虚拟机,并提供防火墙策略对它们进行保护。 

本单元的主要内容包括:

练习负责人:

第 3 单元:美国主管系统工程师 Brian Wilson。

 

 

登录终止支持虚拟机


我们将使用 Windows XP 虚拟机来确定当前对外部和内部资源的安全访问。


 

登录 vSphere Web Client

 

如果您尚未登录 vSphere Web Client,请执行以下操作:

(主页应当是 vSphere Web Client。如果不是,请单击 vSphere Web Client 任务栏图标打开 Google Chrome。)

  1. 在User name(用户名)中输入administrator@vsphere.local
  2. 在Password(密码)中输入VMware1!
  3. 单击OK(确定)

 

 

通过折叠右侧任务窗格获得更多屏幕空间

 

  1. 单击图钉图标可折叠任务窗格,从而为主窗格腾出更多显示空间。您也可以通过折叠左侧窗格来获得最大的空间。

 

 

登录 EOS 虚拟机

 

  1. 选择Hosts and Clusters(主机和集群)

 

 

启动 win-xp-01 的虚拟机控制台

 

  1. 选择win-xp-01.corp.local。
  2. 选择Summary(摘要)选项卡。
  3. 单击以启动控制台。

 

 

唤醒 win-xp-01 桌面

 

单击以唤醒桌面

1. 单击Send Ctrl+Alt+Delete(发送 Ctrl+Alt+Delete)按钮以登录。

 

 

登录 win-xp-01 桌面

 

登录凭证

  1. 用户名:Administrator
  2. 密码:VMware1!
  3. 单击OK(确定)登录。

 

 

验证内部访问

 

从桌面启动 Mozilla 浏览器。

  1. 单击Customer_DB_App链接以启动内部应用。

 

 

内部应用启动。

 

我们可以看到,Windows XP 虚拟机对我们的内部应用拥有完全访问权限。这是理想的安全状况。

 

 

打开命令提示符以进行外部访问

 

控制台虚拟机位于我们用于本练习的虚拟环境之外。因此,它代表的是我们环境外部的服务。我们将使用控制中心 IP 地址 192.168.110.10 来代表 Internet 服务。

  1. 单击开始菜单。
  2. 启动命令提示符。

如果未显示命令提示符图标,请单击运行,输入cmd,然后按 Enter 键以显示命令提示符

 

 

验证外部访问

 

首先应对已定义虚拟数据中心外部的虚拟机执行 ping 操作,以表明 win-xp-01可以访问外部网络。在本例中,您将使用主控制台的地址 (192.168.110.10)。这代表了 Internet。

ping 192.168.110.10

如图所示,通过执行 ping 操作,我们可以访问外部服务。这对运行终止支持操作系统的虚拟机造成了严重的潜在安全问题。

 

安全组创建


现在,我们看到了允许终止支持虚拟机访问外部资源所存在的潜在漏洞,因此我们需要找一种方法来保护它们。我们将使用 NSX 中的安全组来快速识别运行 EOS 操作系统的虚拟机,并实施策略来保护它们。


 

创建安全组

 

  1. 单击vSphere Web Client浏览器选项卡。
  2. 单击Home(主页)图标。
  3. 选择Networking  Security(网络连接和安全性)。

 

 

启动 Service Composer

 

  1. 单击Service Composer。

 

 

创建安全组

 

  1. 选择Security Groups(安全组)选项卡。
  2. 单击New Security Group(新建安全组)。

 

 

新建安全组

 

  1. 输入名称:Windows XP EOS。
  2. 单击Next(下一步)。

 

 

定义动态成员

 

  1. 选择Computer OS Name(计算机操作系统名称)。
  2. 选择Contains(包含)。
  3. 选择Windows XP。
  4. 单击Finish(完成)。

 

 

验证安全组成员

 

安全组已经创建,并且动态包含了两个 Windows XP 虚拟机。

将鼠标移到Virtual Machines(虚拟机)列上方。此时应显示2。

  1. 单击数字2以显示安全组中虚拟机的名称。

注意:两个虚拟机都位于组中。

  1. 单击X关闭窗口。

 

限制虚拟机访问


现在,我们将应用规则来限制虚拟机的外部访问。


 

应用策略

 

转至 Service Composer。

  1. 选择我们之前创建的Windows XP EOS安全组。
  2. 单击Apply Policy(应用策略)图标。

 

 

新建安全策略

 

  1. 单击New Security Policy(新建安全策略)

 

 

创建安全策略

 

  1. 输入名称:Security Policy Internal Only Access。
  2. 单击Firewall Rules(防火墙规则)。

 

 

创建防火墙规则

 

  1. 单击New Firewall Rule(新建防火墙规则)。

 

 

配置第 1 条防火墙规则

 

  1. Name(名称):Access Internal Resources
  2. Action(操作):Allow(允许)
  3. Source(源):Policy's Security Group(策略所在的安全组)
  4. Destination(目标):单击Change(更改)

 

 

选择目标

 

为了使本练习更易于配置,我们已经预先创建了 Internal Services 安全组,其中包含内部应用中的虚拟机。我们将创建规则,允许 EOS XP 虚拟机访问这些内部服务,但不允许其访问外部服务(即 Internet)。

  1. 选择:Select Security Groups(选择安全组)。
  2. 选择:Internal Services(内部服务)。
  3. 单击OK(确定)。

 

 

确认防火墙规则设置

 

确认以下设置:

Service(服务):Any(任何)

State(状态):Enabled(已启用)

Log(记录):Do not log(不记录)

  1. 单击OK(确定)。

 

 

确认防火墙规则

 

  1. 单击Finish(完成)。

 

 

添加更多防火墙规则

 

我们已经创建了一个安全组,以允许 Windows XP 虚拟机访问内部服务(内部应用)。但我们仍然需要添加更多规则,以允许内部服务之间的访问,还需要修改默认防火墙规则,以阻止所有其他访问(包括外部访问)。

  1. 单击Firewall(防火墙)以访问防火墙规则。

 

 

编辑部分名称

 

在防火墙Configuration(配置)选项卡上,执行以下操作:

  1. 在Flow Monitoring Rule Section(流量监控规则部分)上,单击Add Section(添加部分)图标
  2. 输入Internal Services to Internal Services作为部分名称
  3. 确认已选中Add section Below(添加以下部分)
  4. 单击Save(保存)

 

 

发布变更

 

  1. 单击Publish Changes(发布变更)。

 

 

为新部分添加规则

 

  1. 单击Add Rule(添加规则)。
  2. 单击以展开规则部分。

 

 

编辑防火墙规则名称

 

  1. 将鼠标悬停在铅笔图标上并单击,以编辑防火墙规则名称。
  2. 输入规则名称:App to App。
  3. 单击Save(保存)。

 

 

选择源。

 

  1. 单击Source(源)列中的铅笔图标
  2. 在Object Type(对象类型)下拉菜单中,选择Security Group(安全组)。
  3. 选择Internal Services(内部服务)安全组
  4. 单击箭头以将其添加到Selected Objects(所选对象)。
  5. 单击OK(确定)。

 

 

选择目标

 

  1. 单击Destination(目标)列中的铅笔图标。
  2. 在Object Type(对象类型)下拉菜单中,选择Security Group(安全组)。
  3. 选择Internal Services(内部服务)安全组。
  4. 单击箭头以将其添加到Selected Objects(所选对象)。
  5. 单击OK(确定)。

 

 

确认防火墙规则

 

我们新的防火墙规则将允许内部应用在各应用层之间进行通信。

确认Source(源)安全组为Internal Services(内部服务)

确认Destination(目标)安全组为Internal Services(内部服务)

确认Action(操作)为Allow(允许)

  1. 单击Publish Changes(发布变更)。

 

 

修改默认防火墙规则

 

为了阻止来自 Windows XP EOS 虚拟机的任何不需要的流量(包括传输到外部服务的流量),我们需要在默认防火墙规则上启用阻止操作。默认防火墙规则位于默认防火墙部分中。

  1. 单击以展开默认防火墙规则部分
  2. 单击默认规则的Action(操作)列上的铅笔图标
  3. 在Action(操作)中选择Block(阻止)。
  4. 单击Save(保存)。

 

 

发布变更

 

  1. 单击Publish Changes(发布变更)。

 

验证 Windows XP 虚拟机的有限访问


现在,我们已经为 EOS Windows XP 虚拟机应用了规则。我们可以继续测试对内部和外部服务的访问。


 

重新打开 win-xp-01a 的控制台

 

  1. 单击win-xp-01a对应的浏览器选项卡。

 

 

确认允许访问内部服务

 

  1. 刷新HOL-Multi-Tier App(HOL 多层应用)对应的浏览器选项卡

您将看到页面已刷新。这是内部服务之间的防火墙规则所允许的操作。

 

 

单元清理:将默认规则设置为Allow(允许)

 

  1. 展开Default Section Layer3(默认部分第 3 层)。
  2. 将鼠标悬停在默认规则的Action(操作)列上的铅笔图标上并单击。
  3. 在Action(操作)中选择Allow(允许)。
  4. 单击Save(保存)

 

 

发布变更

 

  1. 发布变更。

 

第 3 单元小结


祝贺您!您已经完成了第 3 单元的学习。

在本练习中,我们了解了使用智能分组如何可以如何快速地通过安全组容器化终止支持的操作系统。创建安全组之后,我们便可以使用它们来创建防火墙规则,以限制对其中所含的虚拟机的访问以及来自这些虚拟机的访问。安全组是一个多功能工具,随着安全要求的不断变化,我们可以重复使用它来更改策略或创建新策略。

如果您想了解有关 NSX 安全组功能和配置的更多信息,请通过以下 URL 查看 NSX 6.2 文档中心:

练习单元列表:

练习负责人:


 

如何结束练习

 

要结束练习,请单击END(结束)按钮。

 

第 4 单元 - 使用 Jump Box 实现基于用户的安全性(45 分钟)

在 Jump Box 场景中实现基于用户的安全性


第 4 单元

在 Jump Box 场景中实现基于用户的安全性。


 

简介

简介

在本练习单元中,您将使用基于 NSX 身份的防火墙功能来创建防火墙规则。此功能利用的是从 NSX Manager 到 Active Directory 的连接。NSX Manager 扫描 AD 服务器的事件日志,以确定有关凭证和事件的日志。登录虚拟机的用户可基于他们的 AD 组即时将虚拟机分配到安全组。通过结合使用安全组与防火墙规则,我们可以控制环境内的访问。

本练习将使用两个不同的 Active Directory 组和两位不同的用户。第一位用户是一位网络管理员,他应该能够访问环境中的任何应用;另一位用户是一位人力资源专员,他应该只能访问基于 HR Web 的特定应用。     

 

本单元的主要内容包括:

练习负责人:

第 4 单元:美国主管系统工程师 Brian Wilson。

 

了解 NSX 和 Active Directory 之间的关联


NSX 与 Active Directory 相互关联,以使用 AD 组来提供基于身份的防火墙规则。


 

启动浏览器和 vSphere Web Client

 

 

 

登录 vSphere Web Client

 

如果您尚未登录 vSphere Web Client,请执行以下操作:

(主页应当是 vSphere Web Client。如果不是,请单击 vSphere Web Client 任务栏图标打开 Google Chrome。)

  1. 在User name(用户名)中输入administrator@vsphere.local
  2. 在Password(密码)中输入VMware1!
  3. 单击OK(确定)

 

 

通过折叠右侧任务窗格获得更多屏幕空间

 

 

 

了解 NSX 和 Active Directory 之间的关联

 

  1. 单击Networking  Security(网络连接和安全性)。

 

 

选择 NSX Manager

 

在左侧向下浏览到NSX Managers。注意,它指示只有一个对象。

  1. 单击NSX Managers

 

 

选择 NSX Manager

 

  1. 单击192.168.110.15。

 

 

了解域连接器

 

注意,此表中有一个条目。它是为另一个练习单元所配置的一部分,但您将逐步完成这一过程,因此有机会查看连接是如何创建的。 

该连接要求您提供 AD 信息,以便 vCenter 可以通过访问 AD 了解组信息。注意:这与将 vCenter 关联到 AD 以获得用户/角色使用的权限不同。 

  1. 单击Manage(管理)选项卡。
  2. 单击Domains(域)选项卡。
  3. 单击corp.local。
  4. 单击铅笔图标进行编辑。

 

 

提供 NetBIOS 名称

 

在Name(名称)字段中,输入一个名称。然后,为域输入 NetBIOS 名称。

  1. 单击Next(下一步)

 

 

提供 LDAP 选项

 

您将在此完成配置。

  1. 输入VMware1!作为密码。
  2. 单击Next(下一步)。

 

 

安全事件日志访问选项

 

您将在此输入日志访问的设置。

  1. 取消选中Use Domain Credentials(使用域凭证)框
  2. 输入administrator和VMware1!作为凭证
  3. 单击Next(下一步)

 

 

即将完成 - 确认设置

 

现在您需要确认所有设置。

  1. 单击Finish(完成)。

 

 

AD 同步

 

  1. 单击双齿轮图标。
  2. 单击单齿轮图标获取来自 AD 的更新。您应该能看到Success(成功)状态和当前日期。

注意,此过程可能需要 2-3 分钟才能成功。

创建已配置且已同步的 AD 连接后,即可准备在自己的安全策略中使用 AD 组。

 

使用基于 AD 组的安全对象。


  1. 安全对象已经定义为基于 AD 组成员,并将用于实施安全策略。

 

创建基于 AD 组的安全对象

 

  1. 将鼠标悬停在Home(主页)按钮上。
  2. 单击Networking  Security(网络连接和安全性)。

 

 

创建新的防火墙规则部分

 

  1. 在导航窗格上,单击Firewall(防火墙)链接。
  2. 在Flow Monitoring Rule Section(流量监控规则部分)上,单击Add Section(添加部分)图标

 

 

AD 组防火墙规则部分

 

  1. 将新部分命名为 AD Based Firewall Rules
  2. 确认已选中Add section below(添加以下部分)。
  3. 单击Save(保存)。

 

 

添加规则 - Net-Admin

 

  1. 在新创建的规则部分上,单击Add rule(添加规则)图标。
  2. 单击以展开新创建的规则部分。
  3. 单击Name(名称)列上的铅笔图标以编辑新规则。

 

 

为规则命名

 

  1. 输入名称:Network Admin Access
  2. 单击Save(保存)。

 

 

编辑源

 

您要将一个域组添加到Network Admin Access规则的Source(源)字段中。

  1. 将鼠标悬停在Source(源)字段上并单击铅笔符号。
  2. 选择Object Type(对象类型)下拉菜单中的Security Group(安全组)。
  3. 单击New Security Group(新建安全组)。

 

 

将新安全组命名为 Net-Admin

 

  1. 输入Net-Admin作为名称。
  2. 单击Define Dynamic membership(定义动态成员)。

 

 

定义动态成员

 

  1. 从下拉菜单中选择Entity(实体)
  2. 选择Belongs to(属于)
  3. 单击打开Select Entity(选择实体)窗口

 

 

选择 AD 组

 

  1. 选择类型Directory Group(目录组)。
  2. 在搜索框中输入app。
  3. 选择AppConfiguration。
  4. 单击OK(确定)。

 

 

完成 AD 组

 

  1. 单击Finish(完成)。

 

 

确认安全组选择

 

  1. 单击OK(确定)

 

 

编辑规则目标

 

  1. 将鼠标悬停在新创建规则的Destination(目标)列中的铅笔图标上并单击

 

 

选择Internal Services(内部服务)安全组

 

  1. 从Object Type(对象类型)下拉菜单中,选择Security Group(安全组)。
  2. 选择预先创建的Internal Services(内部服务)安全组。
  3. 单击向右箭头以将其添加到Selected Objects(所选对象)中。
  4. 单击OK(确定)。

Internal Services(内部服务)安全组包含内部环境中的所有虚拟机。此规则将允许管理员连接到内部环境中的任何应用和/或任何虚拟机。

 

 

确认规则设置。

 

新规则应允许 Net-Admin(AppConfiguration AD 组成员)使用任何服务访问内部服务(所有内部应用)

  1. 单击Publish Changes(发布变更)。

 

 

添加规则 - HR-Admin

 

  1. 单击以展开基于 AD 的规则部分
  2. 单击Add Rule(添加规则)图标。

 

 

为规则命名

 

  1. 将鼠标悬停在新创建规则的Name(名称)列中的铅笔图标上并单击
  2. 输入规则名称:Human Resources Access
  3. 单击Save(保存)

 

 

编辑源

 

您要将一个域组添加到HR Admin Access规则的Source(源)字段中。

  1. 将鼠标悬停在Source(源)字段上并单击铅笔符号
  2. 选择Object Type(对象类型)下拉菜单中的Security Group(安全组)
  3. 单击New Security Group(新建安全组)

 

 

将新安全组命名为 HR-Admin

 

  1. 输入 HR-Admin 作为名称。
  2. 单击Define Dynamic membership(定义动态成员)。

 

 

定义动态成员

 

  1. 从下拉菜单中选择Entity(实体)
  2. 选择Belongs to(属于)
  3. 单击打开Select Entity(选择实体)窗口

 

 

选择目录组

 

  1. 选择类型Directory Group(目录组)
  2. 在搜索框中输入Hr
  3. 选择HResources
  4. 单击OK(确定)

 

 

完成安全组的创建

 

  1. 单击Finish(完成)。

 

 

确认安全组选择

 

  1. 单击OK(确定)。

 

 

编辑规则目标

 

  1. 将鼠标悬停在新创建规则的Destination(目标)列中的铅笔图标上并单击

 

 

定义目标选择

 

HR 专员应只能访问 HR Web 应用。

  1. 从Object Type(对象类型)下拉菜单中,选择Virtual Machine(虚拟机)。
  2. 在搜索字段中输入web。
  3. 从Available Objects(可用对象)窗口中,选择hr-web-01a。
  4. 单击箭头图标以将其添加到Selected Objects(所选对象)中。
  5. 单击OK(确定)。

 

 

定义服务

 

  1. 将鼠标悬停在铅笔图标上并单击以编辑服务。

 

 

限制允许的服务。

 

HR 专员应只能通过 Web 访问来访问应用。(HTTP 和 HTTPS)

  1. 从Object Type(对象类型)下拉菜单中,选择Service(服务)。
  2. 在搜索窗口中,输入http。
  3. 从Available Objects(可用对象)窗口中,选择HTTP和HTTPS。
  4. 单击箭头图标以将其添加到Selected Objects(所选对象)中。
  5. 单击OK(确定)。

 

 

确认规则设置。

 

新规则应允许 HR-Admin(HR AD 组成员)使用 HTTP 和 HTTPS 服务来访问 HR 和 Web 应用。

  1. 单击Publish Changes(发布变更)。

 

定义内部应用防火墙规则


本练习中的内部应用将需要更多规则以实现各应用层之间的通信。


 

添加更多防火墙规则

 

我们已经创建了基于 AD 的防火墙规则,以允许 HR 专员和 Net 管理员基于角色访问相应的应用。但我们仍然需要添加更多规则,以允许内部服务之间的访问,还需要修改默认防火墙规则,以阻止所有其他访问(包括外部访问)。

  1. 单击Firewall(防火墙)以访问防火墙规则。

 

 

编辑部分名称

 

在防火墙Configuration(配置)选项卡上,执行以下操作:

  1. 在Flow Monitoring Rule Section(流量监控规则部分)上,单击Add Section(添加部分)图标
  2. 输入Internal Services to Internal Services作为部分名称
  3. 确认已选中Add section Below(添加以下部分)
  4. 单击Save(保存)

 

 

发布变更

 

  1. 单击Publish Changes(发布变更)。

 

 

为新部分添加规则

 

  1. 单击Add Rule(添加规则)。
  2. 单击以展开规则部分。

 

 

编辑防火墙规则名称

 

  1. 单击铅笔图标以编辑防火墙规则名称
  2. 输入规则名称:App to App
  3. 单击Save(保存)。

 

 

选择源。

 

  1. 单击Source(源)列中的铅笔图标。
  2. 在Object Type(对象类型)下拉菜单中,选择Security Group(安全组)。
  3. 选择Internal Services(内部服务)安全组。
  4. 单击箭头以将其添加到Selected Objects(所选对象)。
  5. 单击OK(确定)。

 

 

选择目标

 

  1. 单击Destination(目标)列中的铅笔图标。
  2. 在Object Type(对象类型)下拉菜单中,选择Security Group(安全组)。
  3. 选择Internal Services(内部服务)安全组。
  4. 单击箭头以将其添加到Selected Objects(所选对象)。
  5. 单击OK(确定)。

 

 

确认防火墙规则

 

我们新的防火墙规则将允许内部应用在各应用层之间进行通信。

  1. 确认Source(源)和Destination(目标)均为Internal Services(内部服务)安全组
  2. 确认Action(操作)为Allow(允许)
  3. 单击Publish Changes(发布变更)

 

 

修改默认防火墙规则

 

为阻止任何不需要的流量,我们需要在默认防火墙规则上启用阻止操作。默认防火墙规则位于默认防火墙部分中。

  1. 单击展开默认防火墙规则部分。
  2. 单击默认规则的Action(操作)列上的铅笔图标
  3. 在Action(操作)中选择Block(阻止)。
  4. 单击Save(保存)。

 

 

发布变更

 

  1. 单击Publish Changes(发布变更)。

 

测试基于用户身份的规则


为测试新创建的规则,我们必须使用不同的用户 AD 凭证登录 win12-jump 虚拟机。


 

测试用户身份规则

 

您可以打开域中的 Jump Box 虚拟机 (win-12-jump) 的控制台,并以 Active Directory AppConfiguration 组或 HR 组成员的身份登录,以便测试基于身份的新规则。用户 Netadmin是 AppConfiguration 组的成员,因此可以登录任何内部应用或应用层。用户 HRadmin是 HR 组的成员,因此只能登录 HR Web 应用和财务 Web 应用。您将分别用以上两个身份登录,看一看尝试访问多个 3 层应用的结果。

  1. 单击Home(主页)图标。
  2. 单击VMs and Templates(虚拟机和模板)。

 

 

打开 Jumpbox 的控制台

 

展开容器RegionA01和Discovered virtual machines(已发现的虚拟机)以找到 win12-jump.

  1. 展开其他虚拟机。
  2. 右键单击win12-jump。
  3. 单击Open Console(打开控制台)。

 

 

以 HRadmin 身份登录

 

  1. 单击Send Ctrl+Alt+Del(发送 Ctrl+Alt+Del)。使用控制台按钮。
  2. 单击向左箭头。
  3. 选择Other user(其他用户)。
  4. 输入用户名HRadmin。
  5. 输入密码VMware1!。
  6. 单击箭头。

 

 

打开 Firefox 浏览器

 

  1. 通过桌面图标启动 Firefox 浏览器。

 

 

启动 HR 医疗应用。

 

  1. 单击收藏的HR-Medical Enrollment(HR 医疗注册)应用。

用户 HRadmin 属于 HR 域组,因此只能访问 HR 医疗应用。

 

 

尝试启动财务 Web 应用

 

  1. 单击收藏的HOL-Finance(HOL 财务)应用。

此链接将连接失败。再次说明,用户 HRadmin 属于 HR 域组,因此只能访问 HR 医疗应用。

 

 

注销 HRadmin

 

  1. 单击Send Ctrl+Alt+Del(发送 Ctrl+Alt+Del)。
  2. 单击Sign Out(注销)。

 

 

切换到其他用户

 

  1. 单击Send Ctrl+Alt+Del(发送 Ctrl+Alt+Del)。
  2. 单击Other user(其他用户)。

 

 

以 NetAdmin 身份登录

 

  1. 输入用户名NetAdmin。
  2. 输入密码VMware1!。
  3. 单击箭头。

 

 

打开 Firefox 浏览器

 

  1. 通过桌面图标启动 Firefox 浏览器。

 

 

启动 HR 医疗应用。

 

  1. 单击收藏的HR-Medical Enrollment(HR 医疗注册)应用。

用户 NetAdmin 属于 AppConfiguration 域组,因此可以访问所有应用。

 

 

启动 HOL 财务应用。

 

  1. 单击收藏的HOL-Finance(HOL 财务)应用。

用户 NetAdmin 属于 AppConfiguration 域组,因此可以访问所有应用。

 

 

启动 HOL 客户应用。

 

  1. 单击收藏的HOL-Customer(HOL 客户)应用。

用户 NetAdmin 属于 AppConfiguration 域组,因此可以访问所有应用。

您可以关闭 Jumpbox 的控制台。

 

第 4 单元小结


祝贺您!您已经完成了第 4 单元的学习。

在本练习中,我们了解了如何通过使用 NSX 中基于身份的防火墙功能控制对内部应用的访问。我们针对网络管理员和人力资源专员创建了基于 AD 的防火墙规则。这些规则允许 HR 专员通过 HTTP 协议连接到 HR Web 应用。此外,这些规则还允许网络管理员通过任何协议连接到任何应用。这样,我们就可以基于组织内的角色,控制用户利用正确的权限级别对正确的应用进行访问。

如果您想了解有关基于 NSX 身份的防火墙的功能和配置的更多信息,请通过以下 URL 查看 NSX 6.2 文档中心:

练习单元列表:

练习负责人:


 

如何结束练习

 

要结束练习,请单击END(结束)按钮。

 

Conclusion

Thank you for participating in the VMware Hands-on Labs. Be sure to visit http://hol.vmware.com/ to continue your lab experience online.

Lab SKU: HOL-1703-USE-2-ZH

Version: 20161215-063719