Практические занятия VMware - HOL-1803-02-NET


Обзор практического занятия HOL-1803-02-NET «VMware NSX: распределенный брандмауэр и микросегментация»

Инструкции по практическому занятию


Примечание. На прохождение занятия потребуется более 90 минут. В течение сеанса вы завершите только 2–3 модуля. Эти модули не зависят друг от друга, поэтому можно начать с любого модуля. Для доступа к каждому модулю можно использовать раздел «Содержание».

Раздел «Содержание» доступен в верхнем правом углу руководства по практическому занятию.

В этом практическом занятии рассматриваются сценарии использования VMware NSX и микросегментации, в том числе с подробными обзорами распределенного брандмауэра и пользовательского интерфейса Service Composer. К сценариям использования относятся решения для преобразования сегментированных сетей, интеллектуального группирования серверов и обеспечения безопасности на уровне пользователей.

Список модулей практического занятия:

 Инструкторы:

  • Модуль 1: Крис Казинс (Chris Cousins), старший системный инженер, США
  • Модуль 2: Крис Казинс (Chris Cousins), старший системный инженер, США
  • Модуль 3: Крис Казинс (Chris Cousins), старший системный инженер, США
  • Модуль 4: Крис Казинс (Chris Cousins), старший системный инженер, США

 

Данное руководство можно скачать на сайте документации по практическим занятиям по следующему адресу:

http://docs.hol.vmware.com

Это практическое занятие может быть доступно на других языках. Чтобы выбрать язык и скачать локализованное руководство вместе с практическим занятием, используйте этот документ для получения инструкций:

http://docs.hol.vmware.com/announcements/nee-default-language.pdf


 

Расположение основной консоли

 

  1. Область в КРАСНОМ прямоугольнике содержит основную консоль. Руководство по практическому занятию находится на вкладке справа от основной консоли.
  2. В практическом занятии могут быть доступны дополнительные консоли, расположенные на отдельных вкладках вверху слева. При необходимости появится запрос на открытие требуемой консоли.
  3. В начале практического занятия таймер показывает 90 минут. Это практическое занятие нельзя сохранить. Всю работу необходимо завершить в течение одного сеанса. Вы также можете нажать EXTEND («ПРОДЛИТЬ»), чтобы увеличить время. Если вы находитесь на мероприятии VMware, длительность практического занятия можно увеличить дважды (на 30 минут в целом). Каждое нажатие кнопки увеличивает длительность на 15 минут. Вне мероприятий VMware длительность практического занятия можно увеличить до 9 часов и 30 минут. Каждое нажатие кнопки увеличивает длительность на один час.

 

 

Альтернативные способы ввода данных с клавиатуры

В ходе этого модуля вы будете вводить текст в основной консоли. Помимо прямого ввода текста, существует два полезных метода ввода комплексных данных.

 

 

Нажатие и перетаскивание данного руководства по практическому занятию в активное окно консоли

 
 

Вы также можете нажать и перетащить текст и команды интерфейса командной строки напрямую из руководства по практическому занятию в активное окно основной консоли.  

 

 

Доступ к международной клавиатуре в Интернете

 

Вы также можете использовать международную клавиатуру в Интернете, доступную в основной консоли.

  1. Нажмите значок клавиатуры на панели быстрого запуска Windows.

 

 

Запрос активации или водяной знак

 

В начале практического занятия вы можете заметить водяной знак на виртуальном компьютере. Это указывает на то, что операционная система Windows не активирована.  

Одно из главных преимуществ виртуализации — возможность перемещения и выполнения виртуальных машин на любой платформе. Практические занятия используют это преимущество, и их можно выполнять в нескольких ЦОД. Однако эти ЦОД могут быть оснащены разными процессорами, из-за чего инициируется проверка активации Microsoft через Интернет.

Решения VMware и практические занятия полностью соответствуют требованиям Microsoft к лицензированию. Текущее практическое занятие — это полностью изолированный модуль без полного доступа к Интернету, который требуется Windows для проверки активации. Без полного доступа к Интернету этот автоматический процесс завершается с ошибкой, и появляется данный водяной знак.

Эта небольшая проблема никак не влияет на практическое занятие.  

 

 

Посмотрите на нижнюю правую часть экрана

 

Перед началом убедитесь, что все процедуры подготовки практического занятия завершены. Если на экране отображается любое другое сообщение, кроме Ready («Готово»), подождите несколько минут. Если через пять минут сообщение не изменилось на Ready («Готово»), обратитесь за помощью.

 

Модуль 1. Обзор Service Composer и распределенного брандмауэра (45 минут)

Распределенный брандмауэр: обзор микросегментации


Распределенный брандмауэр NSX — это брандмауэр, встроенный в ядро гипервизора, который обеспечивает визуализацию и управление виртуализированными рабочими нагрузками и сетями. Можно создавать наборы правил для контроля доступа на основе объектов VMware vCenter, таких как имена ЦОД, кластеров и виртуальных машин; сетевых компонентов, таких как IP-адреса и наборы IP-адресов, виртуальные локальные сети (группы портов DVS), сети VXLAN (логические коммутаторы), группы безопасности, а также на основе групп пользователей Active Directory. Правила брандмауэра используются на уровне виртуального сетевого адаптера каждой виртуальной машины. Это обеспечивает согласованный контроль доступа даже при переносе виртуальной машины с помощью vMotion. Встроенный в гипервизор брандмауэр обеспечивает пропускную способность, близкую пропускной способности канала, что помогает получить более высокую консолидацию рабочих нагрузок на физических серверах. Распределенный брандмауэр имеет горизонтально масштабируемую архитектуру, которая автоматически расширяет пропускную способность брандмауэра при добавлении узлов в ЦОД.

Микросегментация основана на использовании распределенного брандмауэра в NSX. Он работает на уровне ядра гипервизора ESXi и обрабатывает пакеты на скорости, близкой к скорости канала. У каждой ВМ есть собственные правила брандмауэра и контекст. Возможность переноса рабочих нагрузок (vMotion) полностью поддерживается распределенным брандмауэром, при этом во время переноса активные подключения сохраняются. Эти расширенные возможности обеспечения безопасности делают сеть ЦОД более защищенной благодаря изоляции каждой связанной группы виртуальных машин в отдельном логическом сегменте сети. При этом администратор может контролировать трафик, передающийся из одного сегмента ЦОД в другой (горизонтальный трафик). Это ограничивает возможность горизонтального перемещения злоумышленника в ЦОД.  

Ниже представлена структура модуля.

Основные возможности распределенного брандмауэра 

Улучшенный механизм обнаружения IP-адресов для брандмауэра

Логическое применение наборов правил безопасности с помощью Service Composer

Начните работу с модулем на вашем виртуальном компьютере. Это ваша ВМ-посредник Control center в виртуальной среде. С этого виртуального компьютера осуществляется доступ к устройству vCenter Server Appliance, развертывание которого выполнено в виртуальном ЦОД.

Примечание. На виртуальном компьютере расположен файл README.txt. Он содержит учетные записи пользователя и пароли для всех виртуальных устройств и ВМ в среде практического занятия.


 

Уведомление пользователя о разделе «Распределенный брандмауэр: микросегментация»

Следует отметить, что модуль «Распределенный брандмауэр» этого практического занятия является повтором модуля 6 «Распределенный брандмауэр» практического занятия HOL-1803-01-NET. Данный модуль не требуется для продолжения практического занятия. Если вы хотите перейти к следующему разделу, ниже представлена ссылка.

Нажмите здесь, чтобы пропустить модуль «Улучшенный механизм обнаружения IP-адресов для виртуальных машин и SpoofGuard»

 

 

 

Альтернативные способы ввода данных с клавиатуры

В ходе этого модуля вы будете вводить текст в основной консоли. Помимо прямого ввода текста, существует два полезных метода ввода комплексных данных.

 

 

Доступ к веб-клиенту vSphere

 

  1. Откройте веб-клиент vSphere с помощью значка Google Chrome на рабочем столе.

 

 

Настройка правил доступа к веб-приложению

Далее будет настроен доступ распределенного брандмауэра к трехуровневому приложению. Приложение содержит два веб-сервера, а также по одному серверу приложений и баз данных. Кроме того, существует средство балансировки нагрузки, которое обслуживает два веб-сервера.

 

 

Создание трехуровневых групп безопасности

 

  1. Нажмите элемент Service Composer.

Средство Service Composer определяет новую модель управления службами сети и безопасности в виртуальных и облачных средах. Наборы правил применяются с помощью несложной визуализации и встроенных или сторонних служб. Те же наборы правил можно применять повторно с помощью экспорта и импорта, что упрощает настройку и восстановление среды в случае возникновения проблемы. Один из этих объектов повторного использования — группа безопасности. Service Composer и группы безопасности подробнее описываются в модуле «Обзор Service Composer и распределенного брандмауэра» далее в этом руководстве.

 

 

Создание правил доступа к трехуровневому приложению

 

Затем вы добавите новые правила, чтобы разрешить доступ к ВМ веб-уровня, и настроите доступ между уровнями.  

  1. В меню слева выберите пункт Firewall («Брандмауэр»).

 

 

Перезапуск сеанса Putty для web-01a

 

  1. Нажмите значок сеанса в левом верхнем углу.
  2. Нажмите элемент Restart Session («Перезапустить сеанс»).

 

 

Топология после добавления правил распределенного брандмауэра для трехуровневого приложения

 

На этой схеме показана относительная точка использования брандмауэра на уровне виртуального сетевого адаптера. Хотя распределенный брандмауэр — это загружаемый в ядро модуль узла vSphere ESXi, правила применяются в виртуальном сетевом адаптере гостевой ВМ. Во время переноса с помощью vMotion такие средства защиты перемещаются вместе с ВМ для непрерывного обеспечения безопасности и предотвращения возможности атаки на ВМ.

 

 

Очистка модуля

 

Для перехода к следующему модулю необходимо снова выбрать для правила по умолчанию значение Allow («Разрешить»).

  1. Выберите в качестве действия правила по умолчанию параметр Allow («Разрешить»).
  2. Опубликуйте изменения.

 

Улучшенный механизм обнаружения IP-адресов для виртуальных машин и SpoofGuard


После синхронизации с vCenter Server компонент NSX Manager собирает IP-адреса всех гостевых виртуальных машин vCenter. Если ВМ скомпрометирована, IP-адрес может быть украден, после чего вредоносные данные смогут обойти наборы правил брандмауэра.

Можно создать набор правил SpoofGuard для определенных сетей, чтобы выполнить авторизацию указанных IP-адресов и изменить их при необходимости для предотвращения спуфинга. SpoofGuard по умолчанию доверяет MAC-адресам ВМ, полученным из VMX-файлов и комплекта vSphere SDK. Поскольку механизм SpoofGuard работает отдельно от правил брандмауэра, его можно использовать для блокировки трафика, идентифицированного как поддельный.

SpoofGuard поддерживает IPv4- и IPv6-адреса. При использовании IPv4-адресации набор правил SpoofGuard поддерживает назначение одного IP-адреса одному виртуальному сетевому адаптеру. IPv6-адресация поддерживает назначение нескольких IP-адресов одному виртуальному сетевому адаптеру. Набор правил SpoofGuard отслеживает и контролирует IP-адреса, указанные ВМ в одном из следующих режимов.

В этом режиме пропускается весь трафик от ВМ, при этом создается таблица назначений виртуальных сетевых адаптеров IP-адресам. Эту таблицу можно изучить, когда необходимо, и изменить IP-адреса. В этом режиме все IPv4- и IPv6-адреса в виртуальном сетевом адаптере утверждаются автоматически.

В этом режиме весь трафик блокируется, пока все назначения виртуальных сетевых адаптеров IP-адресам не будут утверждены.

Примечание. SpoofGuard по умолчанию разрешает DHCP-запросы независимо от выбранного режима. Однако в режиме проверки вручную трафик не пропускается, пока назначенный службой DHCP IP-адрес не будет утвержден.

SpoofGuard предоставляет созданный системой набор правил по умолчанию, которая применяется к группам портов и логическим сетям, не входящим в область действия наборов правил SpoofGuard. Новая сеть автоматически добавляется в область набора правил по умолчанию, пока администратор не добавит ее в существующий или новый набор.

Для работы распределенного брандмауэра NSX требуется обнаружение IP-адресов для объектов, которые указаны как источник или адресат. До выпуска NSX 6.2 для этого использовались средства VMtools внутри виртуальной машины. В этом упражнении показано, как обнаруживать IP-адреса с помощью VMtools в режиме доверия при первом использовании.


 

Просмотр параметров SpoofGuard

 

Перейдите на вкладку веб-клиента vSphere.

  1. Нажмите значок главной страницы.
  2. Нажмите элемент Networking & Security («Сеть и безопасность»).

 

 

Знакомство со средством SpoofGuard

 

  1. Нажмите SpoofGuard в разделе Navigator («Навигация»).

 

 

Включение обнаружения IP-адресов с помощью отслеживания ARP

 

  1. Нажмите кнопку Изменить.

 

 

Перенос ВМ Linux-01a из виртуального распределенного коммутатора в новый логический коммутатор

Сначала необходимо перенести ВМ linux-01a из существующего виртуального распределенного коммутатора в логический коммутатор для использования возможностей обнаружения IP-адресов SpoofGuard.

 

 

Возврат в раздел Networking & Security («Сеть и безопасность»)

 

  1. В разделе Navigator («Навигация») нажимайте кнопку Back («Назад») в поле истории, пока не вернетесь в интерфейс настройки NSX.

 

 

Проверка обнаружения Linux-01a с помощью отслеживания ARP

 

  1. Выберите SpoofGuard в меню Navigator («Навигация»).
  2. Нажмите пункт Default Policy («Набор правил по умолчанию»).
  3. Выберите пункт Active Virtual NICs («Активные виртуальные сетевые адаптеры») в раскрывающемся списке View («Просмотр»).
  4. Введите lin и нажмите клавишу ВВОД, чтобы отобразить в результатах linux-01a.

Обратите внимание, что в поле Source («Источник») указано TOFUARP («Доверять при первом использовании ARP») для адреса 192.168.120.115.

 

 

SpoofGuard: подведение итогов

На этом раздел «Улучшенный механизм обнаружения IP-адресов для виртуальных машин и SpoofGuard» завершен. Мы успешно перенесли ВМ в среду NSX и использовали средство SpoofGuard для обнаружения IP-адреса ВМ с помощью новой возможности «Доверять при первом использовании ARP».

 

Обзор групп безопасности


Мы воспользуемся возможностями группы безопасности, которые были описаны в модуле «Распределенный брандмауэр: обзор микросегментации». Группы безопасности NSX — это способ логического группирования и определения объектов, которые необходимо защитить. Группы безопасности могут быть статичными (в том числе содержать отдельные виртуальные машины) или динамическими, при этом членство определятся одним или несколькими из следующих способов:

Обратите внимание, что членство в группах безопасности непрерывно меняется. Например, виртуальная машина с меткой AntiVirus.virusFound перемещается в группу безопасности Quarantine («Карантин»). После очистки от вируса и удаления метки виртуальная машина снова покидает группу безопасности Quarantine («Карантин»).


 

Доступ к Service Composer

 

  1. Нажмите Service Composer на левой панели.

 

 

Просмотр сведений о членстве

 

  1. В столбце Virtual Machine («Виртуальная машина») нажмите номер, связанный с новой группой веб-безопасности.

Примечание. В столбце Virtual Machine («Виртуальная машина») для группы веб-безопасности должно быть указано значение 6, в том числе все виртуальные машины со строкой «WEB» в имени без учета использования прописных букв или IP-сетей.

  1. Нажмите значок X в правом верхнем углу диалогового окна, чтобы закрыть его.

 

Обзор наборов правил безопасности


Наборы правил безопасности NSX могут быть набором следующих конфигураций служб, правил брандмауэра, служб конечных устройств и служб самодиагностики сети. Правила брандмауэра могут состоять из правил, определяющих разрешенный входящий, исходящий и внутренний трафик для группы безопасности. Службы для конечных устройств могут быть реализованы с использованием служб сторонних поставщиков, например для защиты от вирусов и управления уязвимыми местами. Службы самодиагностики сети используются для мониторинга сети, например для предотвращения вторжений.

Во время развертывания службы в NSX сторонний поставщик выбирает категорию службы. Профиль службы по умолчанию создается для каждого шаблона поставщика.

Примечание. Если существует множество групп безопасности, которым необходимо назначить один набор правил безопасности, создайте комплексную группу безопасности, которая будет содержать все дочерние группы, и примените общий набор правил безопасности к комплексной группе. При этом распределенный брандмауэр NSX использует память узла ESXi эффективнее.


 

Создание набора правил безопасности

 

  1. Нажмите вкладку Security Policies («Наборы правил безопасности») на панели Services Composer.
  2. Нажмите значок создания набора правил безопасности.
  3. Введите Block Web-to-Web Traffic («Блокировать трафик веб-веб») в поле Name («Имя»).
  4. Нажмите элемент Firewall Rules («Правила брандмауэра») на левой панели.

 

 

Проверка синхронизации правил брандмауэра

 

  1. Нажмите элемент Firewall («Брандмауэр»).

 

 

Тестирование подключения между виртуальными машинами веб-уровня с помощью Putty

 

Далее мы проверим доступ и взаимодействие между виртуальными машинами веб-уровня, из которых состоит трехуровневое приложение. В ходе первого теста мы откроем консоль web-01a и проверим подключение к ВМ web-02a с помощью команды ping.

  1. Нажмите ярлык PuTTY на панели задач. 
  2. Выберите пункт web-01a.corp.local.
  3. Нажмите кнопку Open («Открыть»).

 

Обзор плиточного представления Service Composer


В Service Composer доступно плиточное представление, в котором отображаются все группы безопасности в выбранном экземпляре NSX Manager. В этом представлении отображаются и такие сведения, как участники каждой группы безопасности и применяемый набор правил безопасности.

В этом разделе на общем уровне описывается использование компонента Service Composer на примере частично настроенной системы для визуализации сопоставлений между группами безопасности и объектами набора правил безопасности в плиточном представлении.


 

Изображение плиточного представления Service Composer

 

 

  1. Нажмите элемент Service Composer.
  2. Нажмите элемент Canvas («Плиточное представление»).

Все группы безопасности выбранного экземпляра NSX Manager, которые не входят в другую группу безопасности, отображаются вместе с применяемыми наборами правил. В раскрывающемся списке NSX Manager указаны все экземпляры NSX Manager, в которых пользователю, который вошел в систему, назначена роль.

Каждый прямоугольник в плиточном представлении обозначает группу безопасности, а значки в прямоугольнике обозначают участников группы безопасности и сведения о наборе правил безопасности, сопоставленном с группой безопасности.

 

 

Модуль 1. Заключение


На этом модуль 1, посвященный Service Composer и распределенному брандмауэру, завершен. Мы создали статичные и динамические группы безопасности, применили статичные и динамические наборы правил безопасности, в том числе правила брандмауэра, и использовали SpoofGuard для обнаружения виртуальных машин в сети, на которых не используются средства VMware, и предоставления им доступа.


 

Очистка модуля 1 перед завершением

 

Перед завершением модуля 1 необходимо удалить правило, созданное в этом разделе.

  1. Вернитесь в раздел Service Composer.
  2. Выберите вкладку Security Policies («Наборы правил безопасности»).
  3. Нажмите строку Block Web-to-Web Traffic («Блокировать трафик веб-веб») правой кнопкой мыши.
  4. Выберите параметр Delete («Удалить»). При появлении запроса Remove security policy? («Удалить набор правил безопасности?») нажмите кнопку Yes («Да»).

 

 

Модуль 1 завершен

Поздравляем! Вы изучили модуль 1.

Дополнительные сведения о возможностях и настройке средств маршрутизации NSX см. в центре документации по NSX 6.3 по следующему адресу:

Перейдите к одному из модулей ниже, соответствующему вашим интересам.

Список модулей практического занятия:

Инструкторы:

 

 

Завершение практического занятия

 

Чтобы завершить практическое занятие, нажмите кнопку END («ЗАВЕРШИТЬ»).  

 

Модуль 2. Пошаговая демонстрация преобразования трехуровневого приложения (15 минут)

Защита одноуровневых архитектур с помощью распределенного брандмауэра NSX


В этом модуле показано, как с помощью распределенного брандмауэра NSX заказчики могут преобразовать традиционные многоуровневые сетевые архитектуры в одноуровневые сети, сохранив при этом изоляцию приложений. Это необходимо для перехода от ориентированного на сети подхода к реализации системы безопасности к подходу, ориентированному на рабочие нагрузки. Вы будете использовать два разных приложения (HR и Finance), которые относятся к одному логическому коммутатору и размещены в одной подсети.   

Затем вы выполните следующее:

В результате работы с этим модулем вы убедитесь в том, что распределенный брандмауэр NSX защищает и изолирует приложения друг от друга, одновременно обеспечивая правильное взаимодействие между ними в одной сетевой инфраструктуре.  


 

Обзор примера сетевой архитектуры

 

Перед преобразованием сети трехуровневого приложения в одноуровневую сеть рассмотрим пример трехуровневого приложения, сегментированного по отдельным подсетям для обеспечения изоляции уровня 3 между веб-уровнем, уровнем приложения и уровнем базы данных. Следует отметить, что отсутствуют правила брандмауэра, которые защищают взаимодействие между виртуальными машинами, расположенными в одном домене уровня 2, и даже между разными уровнями приложения. При горизонтальном масштабировании этих многоуровневых рабочих нагрузок организации могут выполнить развертывание дополнительных подсетей или компонентов приложения (например, баз данных из разных приложений) в том же домене уровня 2.  

Например, компоненты базы данных множества приложений могут размещаться в сети DB-Tier. Традиционные брандмауэры не обеспечивают защиту взаимодействия между этими базами данных. При этом пользователь с правами доступа к одной ВМ базы данных сможет получить доступ к другой базе данных в той же сети. С помощью распределенного брандмауэра NSX организации могут преобразовать всю сетевую структуру в один сегмент уровня 2 и реализовать взаимодействие между приложениями, одновременно изолируя их.

 

 

Доступ к веб-клиенту vSphere

 

  1. Нажмите ярлык Google Chrome в окне основной консоли.

 

 

Проверка работы приложения Finance

 

  1. Откройте новую вкладку в браузере Chrome.
  2. Нажмите закладку Finance DB App («Приложение Finance DB»).

Убедитесь, что вы обращаетесь к базе данных Financial Department Cost Centers Database.  Вы должны получать данные от ВМ fin-web-01a.

 

 

Проверка приложения HR

 

  1. Откройте новую вкладку в браузере Chrome.
  2. Нажмите закладку HR DB App («Приложение HR DB»).

Убедитесь, что вы обращаетесь к базе данных HR Employee Salary.

 

 

Открытие консоли удаленного доступа для ВМ fin-web-01a

 

  1. Нажмите вкладку веб-клиента vSphere.
  2. Нажмите пункт fin-web-01a.corp.local.
  3. Перейдите на вкладку Summary («Сводка»).
  4. Нажмите значок шестеренки и выберите пункт Launch Remote Console («Открыть консоль удаленного доступа»).

 

 

Возврат в сеанс веб-клиента vSphere

 

  1. Нажмите значок веб-клиента vSphere на панели задач.

 

 

Возврат в веб-клиент vSphere

 

  1. Нажмите значок веб-клиента vSphere на панели задач.

 

 

Доступ к конфигурации брандмауэра

 

  1. Нажмите пункт Firewall («Брандмауэр») в меню Navigator («Навигация») слева.

 

 

Создание группы безопасности для приложения HR

 

  1. Выберите элемент Security Group («Группа безопасности») в раскрывающемся меню Object Type («Тип объекта»).
  2. Нажмите элемент New Security Group («Создать группу безопасности)», чтобы создать группу безопасности для приложения HR.

 

 

Создание группы безопасности для приложения Finance

 

  1. Выберите элемент Security Group («Группа безопасности») в раскрывающемся меню Object Type («Тип объекта»).
  2. Нажмите элемент New Security Group («Создать группу безопасности)», чтобы создать группу безопасности для приложения Finance.

 

 

Добавление нового правила брандмауэра

 

  1. Нажмите зеленый знак «плюс» справа от раздела Collapsed App Tier Rules («Правила уровня одноуровневого приложения»), чтобы добавить новое правило.

 

 

Публикация изменений

 

  1. Нажмите кнопку Publish Changes («Опубликовать изменения»), чтобы выполнить развертывание новых правил брандмауэра на соответствующих ВМ и узлах.

 

 

Проверка работы приложения Finance

 

  1. Нажмите вкладку HOL - Finance Department.
  2. Нажмите кнопку обновления.

Убедитесь, что вы обращаетесь к базе данных Financial Department Cost Centers Database.

 

 

Проверка приложения HR

 

  1. Нажмите вкладку HR-Medical Enrollment.
  2. Нажмите кнопку обновления.

Убедитесь, что вы обращаетесь к базе данных Medical Enrollment.

 

 

Очистка среды практического занятия перед переходом к следующему модулю

 

Перед продолжением необходимо удалить правила брандмауэра.    

  1. Перейдите на вкладку веб-клиента vSphere.

 

Модуль 2. Заключение


На этом модуль 2, в котором представлена пошаговая демонстрация изоляции приложений с помощью распределенного брандмауэра NSX для одноуровневой сети, завершен. В этом модуле показано, как преобразовать трехуровневое сетевое приложение в одноуровневый логический коммутатор NSX без влияния на модель безопасности «нулевого доверия» NSX, которую реализует распределенный брандмауэр. В начале модуля мы проверили подключение между ВМ приложений HR и and Finance в одной сети. Затем мы создали правила брандмауэра с логическим группированием ВМ для защиты и блокирования взаимодействия между приложениями HR и Finance, а также проверили действие созданных правил, протестировав взаимодействие в стеках приложений и между ними. После подтверждения изоляции приложений друг от друга мы удалили правила брандмауэра, чтобы подготовиться к другому модулю практического занятия.

Надеемся, сведения об изоляции приложений и модели безопасности «нулевого доверия» распределенного коммутатора NSX будут вам полезны.


 

Модуль 2 завершен

Поздравляем! Вы изучили модуль 2.

Дополнительные сведения о возможностях и настройке средств маршрутизации NSX см. в центре документации по NSX 6.3 по следующему адресу:

Перейдите к одному из модулей ниже, соответствующему вашим интересам.

Список модулей практического занятия:

Инструкторы:

 

 

Завершение практического занятия

 

Чтобы завершить практическое занятие, нажмите кнопку END («ЗАВЕРШИТЬ»).  

 

Модуль 3. Интеллектуальное группирование (30 минут)

Интеллектуальное группирование


Модуль 3. Интеллектуальное группирование


 

Введение

Прекращение поддержки масштабных платформ корпоративного класса, таких как Windows XP, Windows 2000 Server и Windows Server 2003, является серьезной проблемой для организаций, которые выполняют важные приложения, необходимые для повседневной работы. Например, в июле 2015 г., когда корпорация Microsoft объявила о прекращении поддержки Windows 2003, миллионы корпоративных серверов оказались под угрозой.

Организации, использующие операционные системы, поддержка которых прекращена, подвергаются серьезным рискам безопасности, если только они не подготовятся полностью к переходу на новую платформу или не реализуют компенсационных меры. Злоумышленники знают, что поставщики платформ, такие как Microsoft, больше не будут выпускать исправления, поэтому такие системы быстро становятся целью для атак. При этом риски, связанные с использованием платформы после прекращения поддержки, будут расти с течением времени, так как число обнаруженных уязвимых мест растет, а пакеты исправлений не выпускаются.

NSX помогает снизить риски, связанные с использованием ОС после прекращения поддержки, благодаря дополнительным средствам обеспечения безопасности, таким как распределенный брандмауэр и Service Composer. В этом практическом занятии группы безопасности NSX используются для объединения ВМ под управлением Windows XP и применения наборов правил брандмауэра для их защиты в моделируемой среде.  

Ниже представлена структура модуля.

Инструкторы:

Модуль 3: Крис Казинс (Chris Cousins), старший системный инженер, США

 

 

Вход в систему виртуальных машин, поддержка которых прекращается


Используя ВМ под управлением Windows XP, мы определим действующие права доступа к внешним и внутренним ресурсам.


 

Вход в веб-клиент vSphere

 

Выполните вход в веб-клиент vSphere, если это еще не сделано.

(Главной страницей должна быть страница веб-клиента vSphere. Если это не так, нажмите значок Google Chrome на панели задач веб-клиента vSphere.)

  1. Введите administrator@vsphere.local в поле User name («Имя пользователя»).
  2. Введите VMware1! в поле Password («Пароль»).
  3. Нажмите кнопку Login («Вход»).
  1. Нажмите значок булавки, чтобы свернуть панели задач и расширить область просмотра основной панели. Кроме того, можно свернуть левую область, чтобы еще больше увеличить пространство.

 

 

Выполнение входа на виртуальные машины, поддержка ОС которых прекращена

 

  1. Выберите элемент Home («Главная»).
  2. Выберите элемент VMs and Templates («ВМ и шаблоны»).

 

 

Проверка внутреннего доступа

 

Откройте браузер Mozilla на виртуальном компьютере.

  1. Нажмите ссылку Customer DB-App, чтобы открыть внутреннее приложение.

 

 

Открытие командной строки для внешнего доступа

 

ВМ консоли управления размещена за пределами виртуальной среды, которая используется для данного практического занятия. Поэтому она является внешней для текущей среды. IP-адрес 192.168.110.10 будет использоваться для представления интернет-служб.

  1. Нажмите меню Start («Пуск»).
  2. Откройте командную строку.

Если значок Command Prompt («Командная строка») не показан, нажмите элемент Run («Выполнить»), введите «cmd» и нажмите ВВОД, чтобы открыть командную строку.

 

Создание группы безопасности


После определения потенциальной уязвимости, связанной с доступом ВМ под управлением неподдерживаемых ОС к внешним ресурсам, необходимо найти способ их защиты. Мы используем группы безопасности NSX для быстрого определения ВМ, работающих под управлением неподдерживаемых ОС, и их защиты с помощью наборов правил.


 

Создание группы безопасности

 

  1. Перейдите на вкладку веб-клиента vSphere.
  2. Нажмите значок главной страницы.
  3. Нажмите элемент Networking & Security («Сеть и безопасность»).

 

Ограничение доступа к ВМ


Теперь мы применим правила для ограничения внешнего доступа к ВМ.


 

Применение набора правил

 

Перейдите к средству Service Composer.

  1. Выберите группу безопасности Windows XP EOS, созданную ранее.
  2. Нажмите значок применения набора правил безопасности.

 

 

Настройка первого правила брандмауэра

 

  1. В поле Name («Имя») введите Access Internal Resources («Доступ к внутренним ресурсам»).
  2. В поле Action («Действие») введите Allow («Разрешить»).
  3. В поле Source («Источник») введите Policy's Security Group («Группа безопасности набора правил»).
  4. Рядом с полем Destination («Адресат») нажмите элемент Change («Изменить»).

 

 

Добавление дополнительного правила брандмауэра

 

Мы создали группу безопасности, чтобы предоставить ВМ под управлением Windows XP доступ к внутренним службам (приложениям). Однако по-прежнему требуется добавить дополнительное правило, чтобы разрешить взаимодействие между внутренними службами, а также изменить правило брандмауэра по умолчанию, чтобы заблокировать другие виды доступа, в том числе внешний доступ.

  1. Нажмите элемент Firewall («Брандмауэр») для доступа к правилам брандмауэра.

 

 

Изменение правила брандмауэра по умолчанию

 

Чтобы блокировать весь нежелательный трафик, в том числе данные, передаваемые ВМ под управлением Windows XP внешним службам, необходимо включить блокировку в правиле брандмауэра по умолчанию. Оно находится в разделе брандмауэра по умолчанию.

  1. Нажмите стрелку, чтобы развернуть раздел Default Firewall Rule («Правило брандмауэра по умолчанию»).
  2. Нажмите значок карандаша в столбце Action («Действие») правила по умолчанию.
  3. Выберите Block («Блокировать») в поле Action («Действие»).
  4. Нажмите кнопку Save («Сохранить»).

 

Проверка ограниченного доступа для ВМ под управлением Windows XP


Мы создали правила для ВМ под управлением операционной системы Windows XP, поддержка которой прекращена. Мы можем перейти к тестированию доступа к внутренним и внешним службам.


 

Повторное открытие консоли для ВМ win-xp-01a

 

  1. Перейдите на вкладку win-xp-01a.

 

 

Проверка блокировки внешнего доступа

 

  1. Снова откройте командную строку на виртуальном компьютере win-xp-01a.
  2. В командной строке введите ping 192.168.110.10.
  3. Убедитесь, что внешний доступ к Центру управления теперь заблокирован.
ping 192.168.110.10

Можно увидеть, что у ВМ win-xp-01a есть доступ к внутренним службам, однако внешний доступ полностью заблокирован в соответствием с набором правил для группы.

 

 

Очистка модуля: выбор значения Allow («Разрешить») для правила по умолчанию

 

  1. Разверните раздел Default Section Layer3 («Раздел по умолчанию, уровень 3»).
  2. Нажмите значок карандаша в столбце Action («Действие») правила по умолчанию.
  3. Выберите действие Allow («Разрешить»).
  4. Нажмите кнопку Save («Сохранить»).

 

Модуль 3. Заключение


Поздравляем! Вы изучили модуль 3.

В этом модуле было показано, как с помощью интеллектуального группирования быстро объединить операционные системы, поддержка которых прекращена, в группы безопасности. Их можно использовать для создания правил брандмауэра, которые могут ограничить доступ к ВМ и внешним ресурсам. Группы безопасности являются универсальными средством, их можно использовать повторно для изменения или создания наборов правил в соответствии с изменениями требований к безопасности.

Дополнительные сведения о возможностях и настройке групп безопасности NSX см. в центре документации по NSX 6.3 по следующему адресу:

Список модулей практического занятия:

Инструкторы:


 

Завершение практического занятия

 

Чтобы завершить практическое занятие, нажмите кнопку END («ЗАВЕРШИТЬ»).  

 

Модуль 4. Обеспечение безопасности на уровне пользователей с использованием безопасной ВМ-посредника (45 минут)

Обеспечение безопасности на уровне пользователей с использованием безопасной ВМ-посредника


Модуль 4

Обеспечение безопасности на уровне пользователей с использованием безопасной ВМ-посредника


 

Введение

В этом модуле вы создадите правила брандмауэра, используя брандмауэр NSX, опирающийся на учетные данные. Этот компонент использует подключение между Active Directory и NSX Manager. NSX Manager проверяет журнал событий сервера Active Directory, чтобы определить учетные данные для входа и события. Пользователи, заходящие в систему на виртуальных машинах, могут мгновенно назначать этим ВМ группы безопасности в зависимости от их групп Active Directory. Используя группы безопасности в сочетании с правилами брандмауэра, можно управлять доступом в рамках нашей среды.

В данном модуле используются две разные группы Active Directory и два разных пользователя: администратор сети, которому требуется доступ к любому приложению в среде, и администратор отдела кадров, которому требуется только доступ к определенному веб-приложению.      

 

Ниже представлена структура модуля.

Инструкторы:

Модуль 4: Крис Казинс (Chris Cousins), старший системный инженер, США

 

Изучение подключения между NSX и Active Directory


NSX подключается к службе Active Directory, чтобы использовать группы Active Directory для предоставления правил брандмауэра на основе учетных данных.


 

Открытие браузера и веб-клиента vSphere

 

 

 

Изучение подключения между NSX и Active Directory

 

  1. Нажмите значок главной страницы.
  2. Нажмите элемент Networking & Security («Сеть и безопасность»).

 

 

Синхронизация Active Directory

 

  1. Нажмите значок с двумя шестеренками.
  2. Нажмите значок с одной шестеренкой, чтобы получить обновления из Active Directory. Вы увидите состояние Success («Успешно») и текущую дату.

Обратите внимание, что выполнение этого действия может занять 2–3 минуты.

После настройки и синхронизации Active Directory можно использовать группы Active Directory в наборах правил безопасности.

 

Самодиагностика гостевых агентов в NSX


Перед созданием правил брандмауэра, опирающегося на учетные данные, необходимо настроить самодиагностику гостевых агентов в среде NSX.


 

Развертывание средства самодиагностики гостевых агентов

 

  1. Нажмите значок главной страницы.
  2. Нажмите элемент Networking & Security («Сеть и безопасность»).

 

 

Развертывание служб

 

  1. Выберите элемент Installation («Установка»).
  2. Откройте вкладку Service Deployments («Развертывание служб»).
  3. Нажмите значок + для развертывания средства самодиагностики гостевых агентов.

 

 

Мастер развертывания средства самодиагностики гостевых агентов

 

  1. Выберите службу Guest Introspection («Самодиагностика гостевых агентов»).
  2. Нажмите кнопку Next («Далее»).

 

  1. Выберите элемент RegionA01-COMP02.
  2. Нажмите кнопку Next («Далее»).

 

  1. Оставьте значения по умолчанию.
  2. Нажмите кнопку Next («Далее»).

 

 

Начало сбора данных

 

  1. Нажмите кнопку Finish («Готово»).

Подождите несколько минут до окончания установки, а затем убедитесь, что установка в кластере выполнена успешно.

 

 

 

Проверка установки службы самодиагностики гостевых агентов на узлах

 

  1. Нажмите значок главной страницы.
  2. Выберите элемент Hosts and Clusters («Узлы и кластеры»).

 

  1. Разверните папку RegionA01-COMP02.
  2. Убедитесь, что ВМ службы самодиагностики гостевых агентов работоспособна и развернута на узле esx-03a.corp.local.
  3. Убедитесь, что ВМ службы самодиагностики гостевых агентов назначен IP-адрес.

 

Использование объектов безопасности на основе групп Active Directory


  1. Объекты безопасности определяются на основе членства в группах Active Directory и будут использоваться для применения набора правил безопасности.

 

Создание объекта безопасности на основе групп Active Directory

 

  1. Наведите курсор мыши на значок главной страницы.
  2. Нажмите элемент Networking & Security («Сеть и безопасность»).

 

 

Создание раздела правил брандмауэра

 

  1. Нажмите ссылку Firewall («Брандмауэр») на панели навигации.
  2. Нажмите значок добавления раздела в разделе Flow Monitoring & Traceflow Rules («Мониторинг потоков и правила Traceflow»).

 

 

Добавление правила для администратора сети

 

  1. Нажмите значок добавления правила в новом разделе правил.
  2. Нажмите стрелку, чтобы развернуть созданный раздел правил.
  3. Нажмите значок карандаша в столбце Name («Имя»), чтобы изменить правило по умолчанию.

 

 

Добавление правила для администратора отдела кадров

 

  1. Нажмите стрелку, чтобы развернуть раздел правил на основе Active Directory.
  2. Нажмите значок добавления правила.

 

Определение правил брандмауэра для внутренних приложений


Для обеспечения взаимодействия между уровнями внутренних приложений в этом практическом занятии требуются дополнительные правила.


 

Добавление дополнительного правила брандмауэра

 

Мы создали правила брандмауэра на основе Active Directory, чтобы разрешить администраторам отдела кадров и сети доступ к соответствующим приложениями в зависимости от роли. Однако по-прежнему требуется добавить дополнительное правило, чтобы разрешить взаимодействие между внутренними службами, а также изменить правило брандмауэра по умолчанию, чтобы заблокировать другие виды доступа, в том числе внешний доступ.

  1. Нажмите элемент Firewall («Брандмауэр») для доступа к правилам брандмауэра.

 

 

Изменение правила брандмауэра по умолчанию

 

Для блокировки нежелательного трафика необходимо включить блокировку в правиле брандмауэра по умолчанию. Оно находится в разделе брандмауэра по умолчанию.

  1. Нажмите стрелку, чтобы развернуть раздел Default Firewall Rule («Правило брандмауэра по умолчанию»).
  2. Нажмите значок карандаша в столбце Action («Действие») правила по умолчанию.
  3. Выберите Block («Блокировать») в поле Action («Действие»).
  4. Нажмите кнопку Save («Сохранить»).

 

Тестирование правил на основе учетных данных пользователей


Чтобы проверить созданные правила, необходимо выполнить вход на ВМ win12-jump под разными учетными данными пользователя Active Directory.


 

Проверка правила на основе учетных данных пользователей

 

Чтобы проверить новые правила на базе учетных данных, откройте консоль на ВМ-посреднике (win-12-jump) в домене и выполните вход как участник группы AppConfiguration или Human Resources службы Active Directory. Пользователь Netadmin является участником группы AppConfiguration и поэтому может войти в любое внутреннее приложение и на любой уровень приложений. Пользователь HRadmin является участником группы Human Resources и поэтому может войти в только в веб-приложения HR и Financial. Вы выполните вход в качестве каждого администратора, чтобы просмотреть результаты попытки доступа к нескольким трехуровневым приложениям.

  1. Нажмите значок главной страницы.
  2. Нажмите элемент VMs and Templates («ВМ и шаблоны»).

 

 

Открытие консоли ВМ-посредника

 

Разверните контейнеры RegionA01 и Discovered virtual machines (Обнаруженные виртуальные машины), чтобы найти win12-jump.

  1. Разверните узел Misc VMs («Прочие ВМ»).
  2. Наведите курсор на пункт win12-jump и нажмите правую кнопку мыши.
  3. Нажмите пункт Open Console («Открыть консоль»).

 

 

Переключение на другого пользователя

 

  1. Нажмите кнопку Send Ctrl+Alt+Delete («Отправить Ctrl+Alt+Delete»).
  2. Нажмите Other user («Другой пользователь»).

 

 

Выполнение входа с именем пользователя NetAdmin

 

  1. Введите имя пользователя «NetAdmin».
  2. Введите пароль «VMware1!.» (не забудьте добавить символ «.» после «!»)
  3. Нажмите значок стрелки.

 

Модуль 4. Заключение


Поздравляем! Вы изучили модуль 4.

В этом модуле показано, как в NSX использовать возможности брандмауэра, опирающегося на учетные данные, для управления доступом к внутренним приложениям. Мы создали правила брандмауэра на основе Active Directory для администратора сети и отдела кадров. При использовании этих правил администратор отдела кадров может подключиться только к веб-приложению HR по протоколу HTTP. В соответствии с этими правилами администратор сети может подключиться к любым приложениям с использованием любого протокола. Таким образом можно контролировать доступ к соответствующим приложениям с правильным уровнем полномочий в зависимости от ролей в организации.

Дополнительные сведения о возможностях и настройке правил брандмауэра NSX с опорой на учетные данные см. в центре документации по NSX 6.3 по следующему адресу:

Список модулей практического занятия:

Инструкторы:


 

Завершение практического занятия

 

Чтобы завершить практическое занятие, нажмите кнопку END («ЗАВЕРШИТЬ»).  

 

Модуль 5. NSX Application Rule Manager (30 минут)

Модуль 5. Application Rule Manager



 

Введение

Application Rule Manager (ARM) — это новый набор средств, представленный в NSX 6.3. Он использует данные потока в режиме реального времени для быстрого и эффективного планирования микросегментации и внедрения моделей безопасности «нулевого доверия». ARM предоставляет новый способ для защиты новых и существующих приложений в больших масштабах, чем поддерживает Log Insight, и в средах меньшего масштаба, чем поддерживает vRealize Network Insight (vRNI).

ARM собирает данные потока в режиме реального времени, передаваемые и получаемые рабочими нагрузками приложений, а также данные между рабочими нагрузками, что предоставляет возможность создавать модели безопасности, ориентированные на приложения. ARM может отслеживать до 30 ВМ на сеанс, при этом одновременно могут выполняться 5 сеансов. ARM также обеспечивает визуализацию заблокированных потоков и правил брандмауэра, которые блокируют трафик.  

Рабочий процесс управления Application Rule Manager состоит из трех шагов.

  1. Выберите виртуальные машины, из которых состоит приложение и которые необходимо отслеживать. После настройки осуществляется мониторинг всех входящих и исходящих потоков для заданного набора виртуализированных сетевых адаптеров на ВМ. Одновременно до пяти сеансов могут собирать данные потоков.
  2. Остановите мониторинг, чтобы создать таблицы потоков. Потоки анализируются для определения взаимодействия между ВМ. Потоки можно фильтровать для отображения ограниченного набора записей.
  3. Используйте таблицы потоков для создания групповых объектов, например групп безопасности, наборов IP-адресов, служб и групп служб, а также правил брандмауэра.

Инструкторы:

Модуль 5: Крис Казинс (Chris Cousins), старший системный инженер, США

 

Микросегментация приложений



 

Открытие браузера Chrome и веб-клиента vSphere

 

  1. Дважды нажмите значок Chrome на виртуальном компьютере.

 

 

Вход в веб-клиент vSphere

 

Выполните вход в веб-клиент vSphere, если это еще не сделано.

(Главной страницей должна быть страница веб-клиента vSphere. Если это не так, нажмите значок Google Chrome на панели задач веб-клиента vSphere.)

  1. Введите administrator@vsphere.local в поле User name («Имя пользователя»).
  2. Введите VMware1! в поле Password («Пароль»).
  3. Нажмите кнопку Login («Вход»).

 

 

Просмотр Application Rule Manager

 

  1. Выберите элемент Home («Главная»).
  2. Нажмите элемент Networking & Security («Сеть и безопасность»).

 

 

Выбор элемента Flow Monitoring («Мониторинг потоков»)

 

  1. Выберите элемент Flow Monitoring («Мониторинг потоков»).

 

 

Запуск нового сеанса для HR_App

 

  1. Откройте вкладку Application Rule Manager.
  2. Нажмите кнопку Start New Session («Запустить новый сеанс»), чтобы начать собирать данные потоков приложений.

 

 

Выбор виртуальных машин HR_DB_App

 

  1. В поле Session Name («Имя сеанса») введите HR_DB_App.
  2. Выберите элемент Virtual Machine («Виртуальная машина») в раскрывающемся меню Object Type («Тип объекта»).
  3. В поле поиска введите hr.
  4. Выберите элементы hr-web-01a.corp.local, hr-db-01a.corp.local и hr-app-01a.corp.local.
  5. Нажмите стрелку вправо.
  6. Нажмите кнопку OK.

 

 

Создание потоков трафика: ICMP

 

Теперь Application Rule Manager собирает данные потоков от трех виртуальных машин HR_App. Чем дольше выполняется процесс сбора, тем больше данных будет доступно для анализа. В рамках этого модуля мы будем собирать данные три минуты. Для создания потоков данных:

  1. Откройте сеанс Putty и выберите элемент hr-web-01a.corp.local.
  2. В командной строке введите ping -c 2 172.16.60.12.
  3. Откройте командную строку в основной консоли.
  4. ping 172.16.60.10
ping -c 2 172.16.60.12
ping 172.16.60.10

 

 

Создание дополнительных потоков трафика: HTTPS

 

  1. Откройте новую вкладку в браузере Chrome.
  2. Нажмите закладку HR DB App («Приложение HR DB»).
  3. Обновите страницу несколько раз.

 

 

Сбор данных: остановка

 

Через три минуты в консоли Flow Monitoring («Мониторинг потоков») появится элемент Flows («Потоки»). Число потоков зависит от практического занятия.

  1. Через три минуты нажмите кнопку Stop («Остановить»).
  2. Нажмите Yes («Да») для подтверждения.

 

 

Просмотр потока данных

 

Здесь можно просмотреть IP-адреса источника и адресата, а также порты таких служб, как HTTP, HTTPS и т. д.

 

 

Запуск нового сеанса для Finance_DB_App

Для анализа данных, собранных для приложения HR_App, мы настроим второй сеанс для Fin_App, чтобы продемонстрировать сбор данных в нескольких сеансах потоков данных.

 

 

Запуск сеанса для Finance_DB_App

 

  1. Нажмите кнопку Start New Session («Запустить новый сеанс»).

 

 

Выбор виртуальных машин Finance_App

 

  1. В поле Session Name («Имя сеанса») введите Finance_App.
  2. Выберите элемент Virtual Machine («Виртуальная машина») в раскрывающемся меню Object Type («Тип объекта»).
  3. В поле поиска введите fin.
  4. Выберите элементы fin-web-01a.corp.local, fin-db-01a.corp.local и fin-app-01a.corp.local.
  5. Нажмите стрелку вправо.
  6. Нажмите кнопку OK.

 

 

Сбор данных приложения Finance_App

 

Теперь Application Rule Manager собирает данные потоков от трех виртуальных машин Finance_App. Чем дольше выполняется процесс сбора, тем больше данных будет доступно для анализа. В рамках этого модуля мы будем собирать данные три минуты. Чтобы создавать данные потока, откройте новую вкладку в браузере Chrome, нажмите закладку Finance DB App («Приложение Finance DB») и обновите страницу несколько раз. Через три минуты в консоли Flow Monitoring («Мониторинг потоков») появится элемент Flows («Потоки»). Число потоков зависит от практического занятия.

  1. Нажмите кнопку Stop («Остановить»).
  2. Нажмите кнопку Yes («Да»).

 

 

Просмотр сеансов

 

Теперь можно увидеть, что Application Rule Manager успешно собирает данные потоков на виртуальных машинах HR_DB_App и Finance_DB_App.

 

 

Просмотр ресурсов

 

  1. Нажмите элемент Source («Источник») для просмотра отслеживаемых виртуальных сетевых адаптеров.

 

 

Просмотр длительности потока

 

  1. Нажмите элемент Flows («Потоки») для просмотра времени и длительности сбора данных.

 

 

Выполнение анализа потока для Finance_DB_App

 

  1. Нажмите ссылку Analyze («Анализ»), чтобы проанализировать собираемые данные потока.

 

 

Выполнение анализа потока для HR_App

 

После завершения анализа данных для Finance_DB_App:

  1. Выберите HR_DB_App в раскрывающемся меню Session («Сеанс»).
  2. Нажмите элемент Analyze («Анализ»).

 

 

Проверка анализа данных

 

  1. Убедитесь, что над строкой Analysis Complete («Анализ завершен») отображается зеленый флажок. Он указывает, что анализ данных выполнен успешно.

 

 

Представление обработанных данных для HR_DB_App

 

После анализа и обработки данных потока NSX заменил IP-адреса на имена ВМ, что упростило логическое сопоставление потоков с объектами.

 

 

Правила брандмауэра для HR_DB_App

 

Информация, предоставленная компонентом ARM, помогла выполнить микросегментацию виртуальных машин в приложениях HR__DB_App и Finance_DB_App и между ними. Проверим, может ли ВМ hr-web-01a взаимодействовать с hr-db-01a.

  1. Откройте сеанс Putty для hr-web-01a.corp.local.
  2. Нажмите элемент hr-db-01a.corp.local в столбце Destination («Адресат»), чтобы получить IP-адрес виртуальной машины.
  3. Здесь можно увидеть IP-адрес 172.16.60.12, а также сведения о виртуальных сетевых адаптерах.
  4. Выполните команду ping для IP-адреса 172.16.60.12. Она должна быть выполнена успешно без потери пакетов.
ping -c 2 172.16.60.12

Мы только что убедились, что ВМ web-01a приложения HR_DB_App может напрямую взаимодействовать с ВМ db-01a. Это не идеальный вариант. Затем мы настроим соответствующие правила брандмауэра для управления трафиком между трехуровневыми виртуальными машинами.

 

 

Новые правила брандмауэра

 

  1. Выберите поток с источником 192.168.110.10, адресатом hr-web-01a.corp.local и службой SSH.
  2. Нажмите значок шестеренки.
  3. Выберите элемент Create Firewall Rule («Создать правило брандмауэра»).

 

 

Ввод имени: Control Center to HR_Web

 

  1. Введите имя Control Center to HR_Web («Центр управления — HR_Web»).
  2. Нажмите элемент Select («Выбрать») напротив поля Service («Служба»).

 

 

Выбор служб

 

  1. Введите https в поле поиска.
  2. Выберите элемент HTTPS.
  3. Нажмите стрелку вправо.
  4. Убедитесь, что выбраны элементы SSH и HTTPS.
  5. Нажмите кнопку OK.

 

 

Подтверждение конфигурации

 

  1. Убедитесь, что конфигурация соответствует изображению, и нажмите кнопку OK.

 

 

Настройка правила брандмауэра HR_Web to HR_App

 

  1. Выберите строку, в столбце Destination («Адресат») которой указана ВМ hr-app-01a.
  2. Нажмите элемент Actions («Действия») рядом со значком шестеренки и выберите Create Firewall Rule («Создать правило брандмауэра»).  

 

 

Новое правило брандмауэра: HR_Web to HR_App

 

  1. В поле Name («Имя») введите HR_Web to HR_App («HR_Web — HR_App»).
  2. Не изменяйте другие параметры по умолчанию и нажмите кнопку OK.

 

 

Настройка нового правила брандмауэра: HR_App to HR_DB («HR_Web — HR_DB»)

 

  1. Выберите строку, в столбце Destination («Адресат») которой указана ВМ hr-db-01a.
  2. Нажмите значок шестеренки и выберите Create Firewall Rule («Создать правило брандмауэра»).
  3. НЕ выбирайте строку, в столбце Service («Служба») которой указано ICMP Echo.

 

 

Новое правило брандмауэра: HR_App to HR_DB («HR_Web — HR_DB»)

 

 

 

Публикация правил брандмауэра

 

  1. В разделе Flow Details («Сведения о потоке») выберите вкладку Firewall Rules («Правила брандмауэра»). Здесь отображаются созданные правила брандмауэра.
  2. В этом представлении также можно изменить и удалить правила брандмауэра.
  3. Нажмите кнопку Publish («Опубликовать»).

 

 

Ввод имени

 

  1. В поле Section Name («Имя раздела») введите HR_DB_App.
  2. Выберите элемент Default Section Layer 3 («Уровень 3 раздела по умолчанию»).

 

 

Просмотр правила брандмауэра HR_DB_App

 

  1. Выберите пункт Firewall («Брандмауэр») на панели Navigator («Навигация»).

 

 

Правило брандмауэра для трехуровневого приложения HR_DB_App

 

Здесь можно просмотреть правила брандмауэра, настроенные в Application Rule Manager. Далее мы протестируем приложение HR_DB_App, чтобы убедиться, что IP-адрес веб-страницы успешно сопоставляется, а небезопасный трафик блокируется.

 

 

Изменение правила брандмауэра по умолчанию

 

  1. В разделе Default Rule («Правило по умолчанию») нажмите значок карандаша, чтобы изменить правило.
  2. В поле Action («Действие») выберите элемент Block («Блокировать»).
  3. Нажмите кнопку Save («Сохранить»).

 

  1. Опубликуйте изменения.

 

 

Проверка работы приложения HR_DB_App

 

Если вы закрыли вкладку HOL - HR Department:

  1. Откройте новую вкладку в браузере Chrome.
  2. Нажмите закладку HR DB App («Приложение HR DB»).

Вы должны увидеть базу данных HR Employee Salary.

 

 

Открытие командной строки

 

Теперь мы протестируем возможность проверки подключения к веб-серверу, серверу приложений и серверу базы данных в основной консоли с помощью команды ping:

  1. ping 172.16.60.10
  2. ping 172.16.60.11
  3. ping 172.16.60.12
ping 172.16.60.10
ping 172.16.60.11
ping 172.16.60.12

Как можно увидеть, трафик ICMP блокируется. Разрешается только трафик HTTPS.

Примечание. В этом модуле мы настроили правило брандмауэра web-01a, чтобы разрешить протокол SSH и получить доступ к виртуальной машине с помощью Putty для выполнения следующего теста.

 

 

Открытие Putty

 

ping -c 2 172.16.60.12
  1. ping -c 2 172.16.60.12
  2. Через 10 секунд нажмите клавиши Control+C для прекращения сеанса.

Теперь можно увидеть, что трафик от web-01a к db-01a заблокирован.

 

Модуль 5. Заключение


Поздравляем! Вы изучили модуль 5.

Дополнительные сведения о возможностях и настройке NSX Application Rule Manager см. в центре документации по NSX 6.3 по следующему адресу:

Список модулей практического занятия:

Инструкторы:

  • Модуль 1: Крис Казинс (Chris Cousins), старший системный инженер, США
  • Модуль 2: Крис Казинс (Chris Cousins), старший системный инженер, США
  • Модуль 3: Крис Казинс (Chris Cousins), старший системный инженер, США
  • Модуль 4: Крис Казинс (Chris Cousins), старший системный инженер, США

 

Завершение практического занятия

 

Чтобы завершить практическое занятие, нажмите кнопку END («ЗАВЕРШИТЬ»).  

 

Заключение

Спасибо за участие в практических занятиях VMware! Полный каталог можно найти по ссылке: http://hol.vmware.com/

Код занятия (SKU): HOL-1803-02-NET

Версия: 20180731-162027