VMware Hands-on Labs - HOL-1803-02-NET


练习概述 - HOL-1803-02-NET - VMware NSX:具有微分段功能的分布式防火墙

练习指导


注意:完成本练习需要 90 多分钟。每次最好只完成 2 到 3 个单元。这些单元彼此相互独立,因此您可以选择任一单元从头学起。您可以使用目录访问所选择的任何单元。

目录可以从练习手册的右上角访问。

在本练习中,我们将探讨有关 VMware NSX 和微分段的使用情形,还会更深入地了解分布式防火墙和 Service Composer UI。具体使用情形包括合并分段网络、将服务器智能分组和基于用户的安全性方面的解决方案。

练习单元列表:

练习负责人:

 

本练习手册可以从动手练习文档站点下载,网址为:

http://docs.hol.vmware.com

本练习可能会提供其他语言版本。要设置语言首选项并在练习中部署本地化手册,可以在本文档的帮助指导下完成:

http://docs.hol.vmware.com/announcements/nee-default-language.pdf


 

主控制台的位置

 

  1. 红框区域包含主控制台。练习手册位于主控制台右侧的选项卡上。
  2. 个别练习可能会用到其他控制台,分别位于左上角的不同选项卡上。如有需要,系统将引导您打开另一特定控制台。
  3. 练习限时 90 分钟。练习结果无法保存。所有工作必须在练习课程中完成。但是您可以单击“EXTEND”(延长)延长时间。在 VMware 活动期间,您可以将练习时间延长两次,最多可延长 30 分钟。每单击一次可延长 15 分钟。非 VMware 活动期间,最多可将练习时间延长至 9 小时 30 分钟。每单击一次可延长一小时。

 

 

键盘数据输入的替代方法

在本单元中,您将向主控制台中输入文本。除直接输入外,还有两种非常有用的数据输入方法,可简化输入复杂数据的过程。

 

 

单击练习手册内容并拖放到控制台的活动窗口

您也可以单击练习手册中的文本和命令行界面 (CLI) 命令并将其直接拖放到主控制台中的活动窗口。

 

 

使用在线国际键盘

 

您还可以使用主控制台中的在线国际键盘。

  1. 单击 Windows 快速启动任务栏上的键盘图标。

 

 

激活提示或水印

 

首次开始练习时,您可能会注意到桌面上有一个水印,提示 Windows 尚未激活。

虚拟化的一个主要优势在于,可以在任意平台上移动和运行虚拟机。本动手练习利用了这一优势,我们可以运行多个数据中心内的练习。但是,这些数据中心的处理器可能不同,因此会通过 Internet 触发 Microsoft 激活检查。

请放心,VMware 和这些动手练习完全符合 Microsoft 的许可要求。您使用的练习是一个独立的单元,没有对 Internet 的完全访问权限,而 Windows 需要该权限才能验证激活。如果没有对 Internet 的完全访问权限,此自动化过程会失败,并且显示此水印。

这一无关紧要的问题不会影响到您的练习。

 

 

查看屏幕右下部分

 

请检查练习的所有启动例程是否都已结束,并已准备就绪。如果您看到“Ready”(准备就绪)以外的内容,请等待几分钟。如果 5 分钟后,您的练习仍未变为“Ready”(准备就绪),请寻求帮助。

 

第 1 单元 - Service Composer 和分布式防火墙概述(45 分钟)

分布式防火墙 - 微分段概述


NSX 分布式防火墙 (DFW) 是一个 hypervisor 内核嵌入式防火墙,可用于了解和控制虚拟化的工作负载和网络。您可以基于 VMware vCenter 对象(如数据中心和集群)、虚拟机名称、网络结构(如 IP 或 IPSet、VLAN [DVS 端口组]、VXLAN [逻辑交换机])、安全组以及 Active Directory (AD) 中的用户组身份来创建访问控制策略。您可以在每个虚拟机的虚拟网卡级别强制实施防火墙规则,以提供一致的访问控制,即使在虚拟机通过 vMotion 迁移期间也是如此。防火墙的 hypervisor 嵌入式特性提供接近线速的吞吐量,可以在物理服务器上获得更高的工作负载整合率。防火墙的分布性特征提供了一个横向扩展体系结构,该体系结构可在向数据中心添加更多主机时自动延展防火墙功能。

微分段功能由 NSX 的分布式防火墙 (DFW) 组件提供支持。DFW 在 ESXi hypervisor 内核层运行,能以接近线速的速度处理数据包。每个虚拟机都有自己的防火墙规则和背景环境。DFW 完全支持工作负载移动性 (vMotion),而且活动连接在迁移期间仍保持完好。这一先进的安全功能可将每个相关的虚拟机组隔离到不同的逻辑网段上,使管理员能够对数据中心网段之间的流量(东西向流量)进行防火墙保护,从而增强数据中心网络的安全性。这使攻击者不能在数据中心内横向移动。

本单元的主要内容包括:

分布式防火墙的基本功能

改进了针对防火墙功能的 IP 发现机制

使用 Service Composer 在逻辑上应用安全保护

从桌面启动该单元。桌面是您在虚拟环境中的控制中心 Jumpbox。从此桌面上,您可以访问部署在您的虚拟数据中心内的 vCenter Server Appliance

特别声明:在桌面上,您将看到一个名为 README.txt 的文件。该文件包含用于练习中所有虚拟设备和虚拟机的用户帐户和密码。


 

关于“分布式防火墙 - 微分段”部分的用户通知

如果您已经完成练习 HOL-1803-01-NET 的第 6 单元 - 分布式防火墙,请务必注意,本练习中名为“分布式防火墙”的这一部分与该单元重复,您无需再继续完成本练习中的这一部分。如果您想跳过这一部分并进入本练习的下一部分,请使用我们下方提供的链接直接跳过。

单击此处跳到“改进了针对虚拟机和 SpoofGuard 的 IP 发现机制”单元

 

 

 

键盘数据输入的替代方法

在本单元中,您将向主控制台中输入文本。除直接输入外,还有两种非常有用的数据输入方法,可简化输入复杂数据的过程。

 

 

访问 vSphere Web Client

 

  1. 通过双击桌面上的“Google Chrome”图标启动 vSphere Web Client。

 

 

配置 Web 应用访问权限相关规则

现在,您将配置 3 层应用的分布式防火墙访问权限。该应用有两个 Web 服务器,分别为应用服务器和数据库服务器。还有一个负载均衡器服务于这两个 Web 服务器。

 

 

创建 3 层安全组

 

  1. 单击“Service Composer”。

Service Composer 为在虚拟和云环境中使用网络和安全服务定义了一个新模型。通过简单的可视化以及使用由第三方解决方案内置或增强的服务,策略变得切实可行。可通过导出/导入功能重复这些相同的策略,这将有助于轻松解决环境中出现的问题并使其快速恢复。这些可重复使用的对象之一就是安全组。我们将在本单元的后面部分深入介绍 Service Composer 和安全组。

 

 

创建 3 层访问规则

 

下一步,您将添加新的规则以允许访问 Web 虚拟机,然后在各层间设置访问权限。

  1. 在左侧菜单中,选择“Firewall”(防火墙)

 

 

重启与 web-01a 的 PuTTY 会话

 

  1. 单击左上角的会话图标
  2. 单击“Restart Session”(重启会话)。

 

 

为该 3 层应用添加分布式防火墙后的拓扑

 

此图显示虚拟网卡级别防火墙的相关实施点。尽管 DFW 是 vSphere ESXi 主机的内核可加载模块 (KLM),但规则是在客户虚拟机的虚拟网卡上实施的。此保护功能在 vMotion 迁移期间随虚拟机移动,以提供完整的全程保护,不允许出现虚拟机易受攻击的机会。

 

 

单元清理

 

您需要将“Default Rule”(默认规则)重新设置为“Allow”(允许)才能继续学习下一单元。

  1. 将“Default Rule”(默认规则)的“Action”(操作)重新改为“Allow”(允许)
  2. 发布变更。

 

改进了针对虚拟机和 SpoofGuard 的 IP 发现机制


在与 vCenter Server 同步后,NSX Manager 将收集所有 vCenter 客户虚拟机的 IP 地址。如果某个虚拟机受到威胁,则其 IP 地址可能受到欺骗,从而使恶意传输内容能够绕过防火墙策略。

您可以为特定网络创建 SpoofGuard 策略,这使您能够为已报告的 IP 地址授权,并根据需要对这些地址进行修改以防止欺骗。SpoofGuard 在本质上将信任通过 VMX 文件和 vSphere SDK 收集到的虚拟机 MAC 地址。由于操作与防火墙规则分开,因此您可以使用 SpoofGuard 来阻止已确定受到欺骗的流量。

SpoofGuard 同时支持 IPv4 和 IPv6 地址。在使用 IPv4 时,SpoofGuard 策略支持分配给虚拟网卡的单个 IP 地址。IPv6 支持分配给虚拟网卡的多个 IP 地址。SpoofGuard 策略可以通过以下模式之一监控和管理您的虚拟机所报告的 IP 地址:

此模式允许来自您的虚拟机的所有流量通过,同时构建虚拟网卡到 IP 地址分配表。我们可以在方便时审查此表,并进行 IP 地址变更。此模式将自动批准虚拟网卡上的所有 ipv4 和 ipv6 地址。

此模式将阻止所有流量,直到批准每个虚拟网卡到 IP 地址分配为止。

请注意:无论启用哪种模式,SpoofGuard 在本质上都允许 DHCP 请求。不过,如果处于手动检查模式,则流量不会通过,直到批准 DHCP 分配的 IP 地址为止。

SpoofGuard 包括一项由系统生成的默认策略,它应用于未被其他 SpoofGuard 策略涵盖的端口组和逻辑网络。新添加的网络将被自动添加到默认策略,直到管理员将该网络添加到现有策略或者为其创建新策略为止。

NSX 分布式防火墙操作需要发现被指定为源或目标的对象的 IP 地址。在 NSX 6.2 之前,这项任务通过虚拟机内部的 VMtools 来完成。本练习将向您演示如何利用 VMtools 和首次使用时信任机制发现 IP 地址。


 

检查 SpoofGuard 设置

 

单击 vSphere Web Client 对应的浏览器选项卡

  1. 单击“Home”(主页)图标
  2. 单击“Networking & Security”(网络连接和安全性)

 

 

了解 SpoofGuard

 

  1. 在导航器中单击“SpoofGuard”

 

 

启用通过 ARP 侦听发现 IP 地址

 

  1. 单击“Change”(更改)

 

 

将 Linux-01a 从 vDS 迁移到新的逻辑交换机

首先,我们必须将虚拟机 linux-01a 从其现有的 vDS 迁移到一个逻辑交换机,然后才能利用 SpoofGuard IP 发现功能。

 

 

导航回“Networking & Security”(网络连接和安全性)

 

  1. 在“Navigator”(导航器)下,单击历史记录区域的“Back”(返回)按钮,直到回到 NSX 配置界面。

 

 

验证是否通过 ARP 侦听发现了 Linux-01a

 

  1. 从“Navigator”(导航器)菜单中选择“SpoofGuard”
  2. 单击“Default Policy”(默认策略)
  3. 在“View”(视图)下拉菜单中选择“Active Virtual NICs”(活动的虚拟网卡)
  4. 输入“lin”然后按 Enter 键,以筛选出 linux-01a

请注意,“Source”(源)字段将为地址 192.168.120.115 指示“TOFUARP”,即首次使用时信任 ARP。

 

 

SpoofGuard 总结

“改进了针对虚拟机和 SpoofGuard 的 IP 发现机制”部分到此结束。我们已成功将虚拟机迁移到了 NSX 环境,并利用 SpoofGuard 通过首次使用时信任 ARP 新功能了解了该虚拟机的 IP 地址。

 

安全组概述


现在,我们详细介绍下“分布式防火墙 - 微分段概述”中介绍的安全组功能。NSX 安全组可用来对您想要保护的资产进行逻辑分组和定义。安全组可以是静态的(包括具体的虚拟机),也可以是动态的,其成员可能通过以下一种或多种方式定义:

注意,安全组成员会不断变化。例如,标记有 AntiVirus.virusFound 标记的虚拟机将被移到隔离安全组。当病毒清除且该标记从虚拟机移除后,该虚拟机将再次移出隔离安全组。


 

访问 Service Composer

 

  1. 单击左侧面板上的“Service Composer”

 

 

查看成员

 

  1. 单击与新的“Web Security Group”(Web 安全组)相关的“Virtual Machine”(虚拟机)列中的数字

注意:“Web Security Group”(Web 安全组)的“Virtual Machine”(虚拟机)列中的数字应为 6,包括名称中含有“WEB”的所有虚拟机,不考虑是否大写或使用 IP 网络。

  1. 单击对话框右上角的“X”以将其关闭。

 

安全策略概述


NSX 安全策略可以是以下服务配置的集合:防火墙规则、端点服务和网络自检服务。防火墙规则可包括用于定义允许流入或流出安全组或在安全组内移动的流量的规则。端点服务可以通过第三方解决方案提供商服务实施,例如防病毒或漏洞管理服务。网络自检服务是指用于监控网络的服务,如 IPS。

在 NSX 中实施服务期间,第三方供应商可为实施的服务选择服务类别。我们会针对每个供应商模板创建默认的服务配置文件。

注意当您需要将同一安全策略挂接到多个安全组时,请创建包含所有这些子安全组的总安全组,并对其应用通用的安全策略。这样可以确保 NSX 分布式防火墙高效利用 ESXi 主机内存。


 

创建新的安全策略

 

  1. 在“Service Composer”面板中选择“Security Policies”(安全策略)选项卡
  2. 单击“Create Security Policy”(创建安全策略)图标
  3. 在“Name”(名称)字段中输入“Block Web-to-Web Traffic”
  4. 在左侧面板中单击“Firewall Rules”(防火墙规则)

 

 

确认防火墙规则的同步情况

 

  1. 单击“Firewall”(防火墙)

 

 

使用 PuTTY 测试 Web 虚拟机之间的连接

 

接下来,我们将测试构成 3 层应用的 Web 虚拟机之间的通信和访问。第一项测试是,打开 web-01a 的控制台并对 web-02a 执行 ping 操作。

  1. 在桌面任务栏上,单击“PuTTY”快捷方式
  2. 选择“web-01a.corp.local”
  3. 单击“Open”(打开)

 

查看 Service Composer 画布


Service Composer 提供了一个画布视图,用以显示选定 NSX Manager 中的所有安全组。该视图还会显示一些详细信息,例如每个安全组的成员以及应用于该安全组的安全策略。

本主题将通过讲解一个部分配置的系统来介绍 Service Composer,以便您能通过画布视图概要地直观了解安全组和安全策略对象之间的对应关系。


 

Service Composer 画布的图形视图

 

 

  1. 单击“Service Composer”
  2. 单击“Canvas”(画布)

将显示所选 NSX Manager 中的所有安全组(不包含在另一个安全组中)以及应用于这些安全组的策略。“NSX Manager”下拉列表会列出当前登录的用户在其上分配有角色的所有 NSX Manager。

画布中的每个矩形框都代表着一个安全组,框中的图标则表示安全组成员以及有关该安全组对应的安全策略的详情。

 

 

第 1 单元 - 结束语


关于 Service Composer 和分布式防火墙的第 1 单元到此结束。我们已经创建了静态和动态安全组、应用了静态和动态安全策略(包括防火墙规则),还使用 SpoofGuard 发现了未运行 VMTools 的虚拟机并允许其访问网络。


 

第 1 单元清理

 

在完成第 1 单元前,您需要删除这一部分所创建的规则。

  1. 导航回“Service Composer”
  2. 选择“Security Policies”(安全策略)选项卡
  3. 右键单击“Block Web-to-Web Traffic”(阻止 Web 至 Web 流量)
  4. 选择“Delete”(删除)选项。当系统提示“Remove security policy?”(是否删除安全策略?)时,单击“Yes”(是)

 

 

您已完成第 1 单元的学习

祝贺您!您已经完成了第 1 单元的学习。

如果您想了解有关 NSX 路由功能和配置的其他信息,请通过以下 URL 查看 NSX 6.3 文档中心:

继续学习以下您最感兴趣的任意一个单元:

练习单元列表:

练习负责人:

 

 

如何结束练习

 

要结束练习,请单击“END”(结束)按钮。

 

第 2 单元 - 合并 3 层应用功能讲解示范(15 分钟)

使用 NSX 的分布式防火墙功能保护合并的体系结构


在本单元,您将了解 NSX 中的分布式防火墙 (DFW) 功能如何使客户将传统的多层网络体系结构合并到单个扁平网络中,同时保持应用隔离。这对摒弃以网络为中心的安全方法并采用以工作负载为中心的方法至关重要。您将使用位于同一个逻辑交换机和子网中的两个不同的应用(HR 和财务)。

然后,您将配置并测试以下内容:

完成本练习单元后,您就已经证实 NSX DFW 保护了应用并将其彼此隔离,同时允许应用内通信在同一网络基础架构上正常进行。


 

查看示例网络体系结构

 

在将 3 层应用网络合并到单个网络中之前,我们来看一个 3 层应用示例,该应用被分割成单独的子网,以便在 Web、应用和数据库层之间实现第 3 层隔离。务必注意,我们缺少安全防火墙规则,无法保护驻留在同一第 2 层域上的虚拟机之间甚至应用层之间的通信。当组织开始横向扩展大量多层工作负载时,可以选择部署更多子网或在同一第 2 层域上部署应用组件(例如不同应用中的数据库)。

例如,组织可能有多个应用的数据库组件驻留在“DB-Tier”(数据库层)网络上。传统防火墙无法保护这些数据库之间的通信。这可能会使已获批访问某个数据库虚拟机的某个人能够访问同一网络上的其他数据库。借助 NSX 的 DFW,组织能将整个网络结构合并到单个第 2 层网段中,并提供应用内功能及应用间应用隔离。

 

 

访问 vSphere Web Client

 

  1. 在主控制台窗口中单击“Google Chrome”快捷方式。

 

 

确认财务应用正在运行

 

  1. 在 Chrome 中打开一个新选项卡
  2. 单击“Finance DB App”(财务数据库应用)书签。

确认您正在访问的是“Financial Department Cost Centers listings”(财务部成本中心列表)您应该会收到来自 fin-web-01a 的数据。

 

 

验证 HR 应用

 

  1. 在 Chrome 中打开一个新选项卡
  2. 单击“HR DB App”(HR 数据库应用)书签。

确认您正在访问的是“HR Employee Salary Database”(HR 员工工资数据库)

 

 

启动虚拟机 fin-web-01a 的远程控制台

 

  1. 单击 vSphere Web Client 对应的选项卡。
  2. 单击“fin-web-01a.corp.local”。
  3. 单击“Summary”(摘要)选项卡。
  4. 依次单击齿轮图标和“Launch Remote Console”(启动远程控制台)。

 

 

返回 vSphere Web Client 会话

 

  1. 单击任务栏上的“vSphere Web Client”浏览器图标

 

 

返回 vSphere Web Client

 

  1. 单击任务栏上的“vSphere Web Client”浏览器图标。

 

 

访问防火墙配置

 

  1. 从左侧的“Navigator”(导航器)菜单中单击“Firewall”(防火墙)

 

 

创建 HR 应用安全组

 

  1. 从“Object Type”(对象类型)下拉菜单中,选择“Security Group”(安全组)
  2. 单击“New Security Group”(新建安全组)以定义 HR 应用安全组。

 

 

创建财务应用安全组

 

  1. 从“Object Type”(对象类型)下拉菜单中,选择“Security Group”(安全组)
  2. 单击“New Security Group”(新建安全组)以定义财务应用安全组。

 

 

添加新的防火墙规则

 

  1. 单击“Collapsed App Tier Rules”(合并的应用层规则)部分的绿色加号图标,以添加新的规则

 

 

发布变更

 

  1. 单击“Publish Changes”(发布变更),以将新的防火墙规则部署到受影响的虚拟机和主机。

 

 

确认财务应用正在运行

 

  1. 单击“HOL- Finance Department”(HOL 财务部门)选项卡
  2. 单击“Refresh”(刷新)按钮。

确认您正在访问的是“Financial Department Cost Centers listings”(财务部成本中心列表)

 

 

验证 HR 应用

 

  1. 单击“HOL-HR Department”(HOL-HR 部门)选项卡
  2. 单击“Refresh”(刷新)按钮。

确认您正在访问的是“HR Employee Salary Database”(HR 员工工资数据库)

 

 

继续学习下一个练习单元之前的练习清理

 

在继续学习下一个练习单元之前,我们必须先清理防火墙规则。

  1. 单击“vSphere Web Client”浏览器选项卡

 

第 2 单元 - 结束语


现在,我们完成了第 2 单元的学习,本单元以引导的方式为您讲解示范了如何通过 NSX 分布式防火墙 (DFW) 隔离单个扁平网络上的应用。在本单元中,我们还展示了将 3 层网络应用合并到单个 NSX 逻辑交换机中为何不会影响 NSX 通过分布式防火墙提供零信任安全的方式。在本练习中,我们首先验证了位于同一网络上的 HR 和财务应用虚拟机之间的通信。然后,我们创建了防火墙规则并对虚拟机进行逻辑分组,以保护和阻止 HR 和财务应用之间的通信,并且还通过测试应用体系之间以及内部的虚拟机通信,对我们所创建的规则的实施情况进行了验证。在确认应用相互隔离之后,我们删除了防火墙规则,以准备学习本练习的其他单元。

希望您喜欢有关 NSX DFW 的应用隔离和零信任功能的学习。


 

您已完成第 2 单元的学习

祝贺您!您已经完成了第 2 单元的学习。

如果您想了解有关 NSX 路由功能和配置的其他信息,请通过以下 URL 查看 NSX 6.3 文档中心:

继续学习以下您最感兴趣的任意一个单元:

练习单元列表:

练习负责人:

 

 

如何结束练习

 

要结束练习,请单击“END”(结束)按钮。

 

第 3 单元 - 智能分组(30 分钟)

智能分组


第 3 单元 智能分组


 

简介

Windows XP、Windows 2000 Server 和 Windows Server 2003 等主要企业级平台终止支持 (EOS) 对于要在日常业务中运行关键任务应用的组织来说是一项重大挑战。例如,2015 年 7 月,Microsoft 停止为 Windows 2003 提供支持,使得数百万的企业服务器面临险境。

除非充分准备好迁移到新平台或具有适当的补偿性控制措施,否则使用 EOS 操作系统的组织很可能会为其环境带来严重的安全风险。黑客们知道,Microsoft 等平台提供商将不再确认或修补漏洞,因此这些系统快速成为他们最喜欢的攻击目标。随着时间的推移,在 EOS 后运行不受支持的平台所面临的风险也将不断增加,因为越来越多的问题会被发现而得不到修补。

NSX 可通过分布式防火墙 (DFW) 和 Service Composer 增强安全性,从而帮助减轻 EOS 操作系统引发的问题。在本练习中,您将在模拟环境中使用 NSX 安全组来集结 Windows XP 虚拟机,并提供防火墙策略对它们进行保护。

本单元的主要内容包括:

练习负责人:

第 3 单元 - 美国高级系统工程师 Chris Cousins。

 

 

登录终止支持虚拟机


我们将使用 Windows XP 虚拟机来确定当前对外部和内部资源的安全访问。


 

登录 vSphere Web Client

 

如果您尚未登录 vSphere Web Client,请执行以下操作:

(主页应当是 vSphere Web Client。如果不是,请单击 vSphere Web Client 任务栏图标打开 Google Chrome。)

  1. 在“User name”(用户名)中输入 administrator@vsphere.local
  2. 在“Password”(密码)中输入 VMware1!
  3. 单击“Login”(登录)
  1. 单击图钉图标可折叠任务窗格,从而为主窗格腾出更多显示空间。您也可以通过折叠左侧窗格来获得最大的空间。

 

 

登录 EOS 虚拟机

 

  1. 选择“Home”(主页)
  2. 选择“VMs and Templates”(虚拟机和模板)

 

 

验证内部访问

 

从桌面启动 Mozilla 浏览器。

  1. 单击“Customer DB-App”(客户数据库应用)链接以启动内部应用

 

 

打开命令提示符以进行外部访问

 

控制台虚拟机位于我们用于本练习的虚拟环境之外。因此,它代表的是我们环境外部的服务。我们将使用控制中心 IP 地址 192.168.110.10 来代表 Internet 服务。

  1. 单击“Start”(开始)菜单。
  2. 启动命令提示符。

如果未显示“Command Prompt”(命令提示符)图标,请单击“Run”(运行),输入“cmd”,然后按 Enter 键以显示命令提示符

 

安全组创建


现在,我们看到了允许终止支持虚拟机访问外部资源所存在的潜在漏洞,因此我们需要找一种方法来保护它们。我们将使用 NSX 中的安全组来快速识别运行 EOS 操作系统的虚拟机,并实施策略来保护它们。


 

创建安全组

 

  1. 单击“vSphere Web Client”浏览器选项卡。
  2. 单击“Home”(主页)图标。
  3. 选择“Networking & Security”(网络连接和安全性)。

 

限制虚拟机访问


现在,我们将应用规则来限制虚拟机的外部访问。


 

应用策略

 

转至 Service Composer。

  1. 选择我们之前创建的“Windows XP EOS”安全组
  2. 单击“Apply Policy”(应用策略)图标。

 

 

配置第 1 条防火墙规则

 

  1. “Name”(名称):Access Internal Resources
  2. “Action”(操作):“Allow”(允许)
  3. “Source”(源):“Policy's Security Groups”(策略所在的安全组)
  4. “Destination”(目标):单击“Change”(更改)

 

 

添加更多防火墙规则

 

我们已经创建了一个安全组,以允许 Windows XP 虚拟机访问内部服务(内部应用)。但我们仍然需要添加更多规则,以允许内部服务之间的访问,还需要修改默认防火墙规则,以阻止所有其他访问(包括外部访问)。

  1. 单击“Firewall”(防火墙)以访问防火墙规则

 

 

修改默认防火墙规则

 

为了阻止来自 Windows XP EOS 虚拟机的任何不需要的流量(包括传输到外部服务的流量),我们需要在默认防火墙规则上启用阻止操作。默认防火墙规则位于默认防火墙部分中。

  1. 单击展开默认防火墙规则部分
  2. 单击默认规则的“Action”(操作)列上的铅笔图标
  3. 在“Action”(操作)中选择“Block”(阻止)
  4. 单击“Save”(保存)

 

验证 Windows XP 虚拟机的有限访问


现在,我们已经为 EOS Windows XP 虚拟机应用了规则。我们可以继续测试对内部和外部服务的访问。


 

重新打开 win-xp-01a 的控制台

 

  1. 单击“win-xp-01a”对应的浏览器选项卡。

 

 

确认已阻止外部访问

 

  1. 重新在 win-xp-01a 桌面上打开“Command Prompt”(命令提示符)
  2. 在“Command Prompt”(命令提示符)中输入:ping 192.168.110.10
  3. 确认对控制中心的外部访问现已被阻止
ping 192.168.110.10

现在我们可以看到,win-xp-01a 可以访问内部服务,但是它的外部访问已根据组策略被完全阻止。

 

 

单元清理:将默认规则设置为“Allow”(允许)

 

  1. 展开“Default Section Layer3”(默认部分第 3 层)。
  2. 将鼠标悬停在默认规则的“Action”(操作)列上的铅笔图标上并单击。
  3. 在“Action”(操作)中选择“Allow”(允许)。
  4. 单击“Save”(保存)。

 

第 3 单元结束语


 祝贺您!您已经完成了第 3 单元的学习。

在本练习中,我们了解了使用智能分组可以如何快速地通过安全组容器化终止支持的操作系统。创建安全组之后,我们便可以使用它们来创建防火墙规则,以限制对其中所含的虚拟机的访问以及来自这些虚拟机的访问。安全组是一个多功能工具,随着安全要求的不断变化,我们可以重复使用它来更改策略或创建新策略。

如果您想了解有关 NSX 安全组功能和配置的更多信息,请通过以下 URL 查看 NSX 6.3 文档中心:

练习单元列表:

练习负责人:


 

如何结束练习

 

要结束练习,请单击“END”(结束)按钮。

 

第 4 单元 - 使用 Jump Box 实现基于用户的安全性(45 分钟)

在 Jump Box 场景中实现基于用户的安全性


第 4 单元

在 Jump Box 场景中实现基于用户的安全性。


 

简介

在本练习单元中,您将使用基于 NSX 身份的防火墙功能来创建防火墙规则。此功能利用的是从 NSX Manager 到 Active Directory 的连接。NSX Manager 扫描 AD 服务器的事件日志,以确定有关凭证和事件的日志。登录虚拟机的用户可基于他们的 AD 组即时将虚拟机分配到安全组。通过结合使用安全组与防火墙规则,我们可以控制环境内的访问。

本练习将使用两个不同的 Active Directory 组和两位不同的用户。第一位用户是一位网络管理员,他应该能够访问环境中的任何应用;另一位用户是一位人力资源专员,他应该只能访问基于 HR Web 的特定应用。

 

本单元的主要内容包括:

练习负责人:

第 4 单元 - 美国高级系统工程师 Chris Cousins。

 

了解 NSX 和 Active Directory 之间的关联


NSX 与 Active Directory 相互关联,以使用 AD 组来提供基于身份的防火墙规则。


 

启动浏览器和 vSphere Web Client

 

 

 

 

  1. 单击“Home”(主页)图标
  2. 单击“Networking & Security”(网络连接和安全性)

 

 

AD 同步

 

  1. 单击双齿轮图标。
  2. 单击单齿轮图标获取来自 AD 的更新。您应该能看到“Success”(成功)状态和当前日期。

注意,此过程可能需要 2-3 分钟才能成功。

创建已配置且已同步的 AD 连接后,即可准备在自己的安全策略中使用 AD 组。

 

使用基于 AD 组的安全对象


  1. 安全对象已经定义为基于 AD 组成员,并将用于实施安全策略。

 

创建基于 AD 组的安全对象

 

  1. 将鼠标悬停在“Home”(主页)按钮上。
  2. 单击“Networking & Security”(网络连接和安全性)

 

 

创建新的防火墙规则部分

 

  1. 在导航窗格上,单击“Firewall”(防火墙)链接
  2. 单击“Flow Monitoring & Traceflow Rules”(流监控和跟踪流规则)部分的“Add Section”(添加部分)图标

 

 

添加规则 - Network Admin Access

 

  1. 在新创建的规则部分上,单击“Add rule”(添加规则)图标。
  2. 单击以展开新创建的规则部分。
  3. 单击“Name”(名称)列上的铅笔图标以编辑新规则

 

 

添加规则 - Human Resources Access

 

  1. 单击以展开“AD Based Firewall Rules”(基于 AD 的防火墙规则)部分
  2. 单击“Add Rule”(添加规则)图标。

 

定义内部应用防火墙规则


本练习中的内部应用将需要更多规则以实现各应用层之间的通信。


 

添加更多防火墙规则

 

我们已经创建了基于 AD 的防火墙规则,以允许 HR 专员和 Net 管理员基于角色访问相应的应用。但我们仍然需要添加更多规则,以允许内部服务之间的访问,还需要修改默认防火墙规则,以阻止所有其他访问(包括外部访问)。

  1. 单击“Firewall”(防火墙)以访问防火墙规则

 

 

修改默认防火墙规则

 

为阻止任何不需要的流量,我们需要在默认防火墙规则上启用阻止操作。默认防火墙规则位于默认防火墙部分中。

  1. 单击展开默认防火墙规则部分。
  2. 单击默认规则的“Action”(操作)列上的铅笔图标
  3. 在“Action”(操作)中选择“Block”(阻止)
  4. 单击“Save”(保存)

 

测试基于用户身份的规则


为测试新创建的规则,我们必须使用不同的用户 AD 凭证登录 win12-jump 虚拟机。


 

测试用户身份规则

 

您可以打开域中的 Jump Box 虚拟机 (win-12-jump) 的控制台,并以 Active Directory AppConfiguration 组或 HR 组成员的身份登录,以便测试基于身份的新规则。用户 Netadmin 是 AppConfiguration 组的成员,因此可以登录任何内部应用或应用层。用户 HRadmin 是 HR 组的成员,因此只能登录 HR Web 应用和财务 Web 应用。您将分别用以上两个身份登录,看一看尝试访问多个 3 层应用的结果。

  1. 单击“Home”(主页)图标。
  2. 单击“VMs and Templates”(虚拟机和模板)。

 

 

打开 Jumpbox 的控制台

 

展开容器“RegionA01”和“Discovered virtual machines”(已发现的虚拟机)以找到 win12-jump.

  1. 展开其他虚拟机。
  2. 右键单击“win12-jump”。
  3. 单击“Open Console”(打开控制台)。

 

 

切换到其他用户

 

  1. 单击“Send Ctrl+Alt+Del”(发送 Ctrl+Alt+Del)。
  2. 单击“Other user”(其他用户)。

 

 

以 NetAdmin 身份登录

 

  1. 输入用户名:NetAdmin。
  2. 密码:VMware1!.(务必在“!”符号后加上“.”)
  3. 单击箭头。

 

第 4 单元结束语


祝贺您!您已经完成了第 4 单元的学习。

在本练习中,我们了解了如何通过使用 NSX 中基于身份的防火墙功能控制对内部应用的访问。我们针对网络管理员和人力资源专员创建了基于 AD 的防火墙规则。这些规则允许 HR 专员通过 HTTP 协议连接到 HR Web 应用。此外,这些规则还允许网络管理员通过任何协议连接到任何应用。这样,我们就可以基于组织内的角色,控制用户利用正确的权限级别对正确的应用进行访问。

如果您想了解有关基于 NSX 身份的防火墙的功能和配置的更多信息,请通过以下 URL 查看 NSX 6.3 文档中心:

练习单元列表:

练习负责人:


 

如何结束练习

 

要结束练习,请单击“END”(结束)按钮。

 

第 5 单元 - NSX Application Rule Manager(30 分钟)

第 5 单元:Application Rule Manager



 

简介

Application Rule Manager (ARM) 是 NSX 6.3 中引入的一个新工具集。它利用实时流数据,以实现零信任安全模型所要求的快速、高效的微分段规划和实施。ARM 提供了一种新的方式,有助于保护比 Log Insight 能保护的规模更大的全新或现有的应用,以及保护比 vRealize Network Insight (vRNI) 能保护的规模更小的环境。

ARM 在应用工作负载内部、外部和之间收集实时流数据,因此能够创建以应用为中心的安全模型。ARM 的每个会话可以监控最多 30 个虚拟机,在任何给定时间可以运行总共 5 个会话。通过 ARM 还可以查看被阻止的流以及阻止流的防火墙规则。

Application Rule Manager 工作流包括三个步骤:

  1. 选择组成应用并且需要监控的虚拟机 (VM)。配置完成后,虚拟机上已定义的一组 VNIC(虚拟化网卡)的所有传入流和传出流都将得到监控。一次最多可以有五个收集流的会话。
  2. 停止监控以生成流表。然后对流进行分析,以揭示虚拟机之间的交互。可以过滤流,以查看有限工作集的流记录。
  3. 使用流表创建分组对象,例如安全组、IP 组、服务和服务组以及防火墙规则。

练习负责人:

第 5 单元 - 美国高级系统工程师 Chris Cousins

 

应用微分段



 

启动 Chrome 浏览器和 vSphere Web Client

 

  1. 双击桌面上的 Chrome 图标

 

 

登录 vSphere Web Client

 

如果您尚未登录 vSphere Web Client,请执行以下操作:

(主页应当是 vSphere Web Client。如果不是,请单击 vSphere Web Client 任务栏图标打开 Google Chrome。)

  1. 在“User name”(用户名)中输入 administrator@vsphere.local
  2. 在“Password”(密码)中输入 VMware1!
  3. 单击“Login”(登录)

 

 

探索 Application Rule Manager

 

  1. 选择“Home”(主页)
  2. 选择“Networking & Security”(网络连接和安全性)

 

 

选择“Flow Monitoring”(流监控)

 

  1. 选择“Flow Monitoring”(流监控)

 

 

针对 HR_DB_App 启动新会话

 

  1. 选择“Application Rule Manager”选项卡
  2. 单击“Start New Session”(启动新会话),以开始收集应用的流数据。

 

 

为 HR_DB_App 选择虚拟机

 

  1. “Session Name”(会话名称):HR_DB_App。
  2. 从“Object Type”(对象类型)下拉列表中选择“Virtual Machine”(虚拟机)。
  3. 在搜索字段中输入 hr
  4. 选择“hr-web-01a.corp.local”、“hr-db-01a.corp.local”和“hr-app-01a.corp.local”。
  5. 单击向右箭头
  6. 单击“OK”(确定)

 

 

创建一些流量流 - ICMP

 

Application Rule Manager 现在正从三个 HR_DB_App 虚拟机收集流数据。收集过程运行的时间越长,您需要分析的数据就越多。为了达到我们的目的,我们将收集流数据三分钟。要生成流数据,请执行以下操作:

  1. 打开一个 PuTTY 会话并选择“hr-web-01a.corp.local”
  2. 在命令行中输入 ping -c 2 172.16.60.12
  3. 在主控制台上打开命令提示符
  4. ping 172.16.60.10
ping -c 2 172.16.60.12
ping 172.16.60.10

 

 

创建更多流量流 - HTTPS

 

  1. 打开一个新的 Chrome 浏览器选项卡
  2. 单击“HR DB App”(HR 数据库应用)书签
  3. 刷新页面几次。

 

 

收集数据 - 停止

 

在三分钟内,您将在“Flow Monitoring”(流监控)控制台中看到“Flows”(流)。每个练习的流数量将会不一样。

  1. 三分钟之后,单击“Stop”(停止)。
  2. 单击“Yes”(是)确认。

 

 

查看流数据

 

在此,我们可以看到源 IP 和目标 IP,以及 HTTP、HTTPS 等服务。

 

 

针对 Finance_DB_App 启动新会话

在分析收集的 HR 应用数据之前,我们将再针对财务应用配置一个会话,以演示如何收集多个数据流会话。

 

 

针对 Finance_DB_App 启动会话

 

  1. 单击“Start New Session”(启动新会话)

 

 

为 Finance_DB_App 选择虚拟机

 

  1. Session Name(会话名称):Finance_DB_App。
  2. 从“Object Type”(对象类型)下拉列表中选择“Virtual Machine”(虚拟机)。
  3. 在搜索字段中输入 fin
  4. 选择“fin-web-01a.corp.local”、“fin-db-01a.corp.local”和“fin-app-01a.corp.local”。
  5. 单击向右箭头
  6. 单击“OK”(确定)

 

 

Finance_DB_App 数据收集

 

Application Rule Manager 现在正从三个 Finance_DB_App 虚拟机收集流数据。收集过程运行的时间越长,您需要分析的数据就越多。为了达到我们的目的,我们将收集流数据三分钟。要生成流数据,请打开一个新的 Chrome 浏览器选项卡,并单击“Finance DB App”(财务数据库应用)书签,然后刷新页面几次。在三分钟内,您将在“Flow Monitoring”(流监控)控制台中看到“Flows”(流)。每个练习的流数量将会不一样。

  1. 单击“Stop”(停止)
  2. 单击“Yes”(是)

 

 

查看会话

 

现在,我们可以看到 Application Rule Manager 已成功收集了“HR_DB_App”“Finance_DB_App”这两个会话中的虚拟机的流数据。

 

 

查看源

 

  1. 单击“Source”(源)以查看被监控的虚拟网卡。

 

 

查看流持续时间

 

  1. 单击“Flows”(流)以查看收集时间和持续时间。

 

 

针对 Finance_DB_App 启动流分析

 

  1. 单击“Analyze”(分析)分析收集的流数据。

 

 

针对 HR_DB_App 启动流分析

 

完成 Finance_DB_App 的数据分析后,执行以下操作:

  1. 从“Session”(会话)下拉菜单中,选择“HR_DB_App”
  2. 单击“Analysis”(分析)

 

 

验证数据分析

 

  1. 验证“Analysis Complete”(分析完成)是否显示绿色对勾标记。这表示数据分析成功。

 

 

HR_DB_App 处理后的视图

 

分析并处理流数据之后,NSX 已用虚拟机名称替换了 IP,这样就更容易在对象之间逻辑对应各个流。

 

 

HR_DB_App 防火墙规则

 

我们将使用 ARM 为我们提供的信息对 HR_DB_App 和 Finance_DB_App 之内及之间的虚拟机进行微分段。我们来看看 hr-web-01a 是否能与 hr-db-01a 通信。

  1. 针对 hr-web-01a.corp.local 打开一个 Putty 会话。
  2. 单击“Destination”(目标)列中的“hr-db-01a.corp.local”以检索其 IP 地址。
  3. 在此,我们可以看到 IP 地址“172.16.60.12”以及虚拟网卡信息。
  4. 172.16.60.12 执行 ping 操作。您应该能看到 ping 操作成功完成,不会发生丢包。
ping -c 2 172.16.60.12

我们刚刚确认了 HR_DB_App 的虚拟机 web-01a 可以与虚拟机 db-01a 直接通信。这并不是理想的情况!接下来,我们将配置适当的防火墙规则,以控制三层虚拟机之间的流量。

 

 

新建防火墙规则

 

  1. 选择“Source”(源)为“192.168.110.10”、“Destination”(目标)为“hr-web-01a.corp.local”、“Service”(服务)为“SSH”的流。
  2. 单击齿轮图标
  3. 选择“Create Firewall Rule”(创建防火墙规则)

 

 

Control Center to HR_Web

 

  1. Name(名称): Control Center to HR_Web
  2. 单击“Service”(服务)对面的“Select”(选择)

 

 

选择服务

 

  1. 在搜索字段中输入 https
  2. 选择“HTTPS”。
  3. 单击向右箭头。
  4. 确认已选择“SSH”和“HTTPS”
  5. 单击“OK”(确定)

 

 

确认配置

 

  1. 确认您的配置与图标所示一致,然后单击“OK”(确定)

 

 

配置防火墙规则 HR_Web to HR_App

 

  1. 选择“Destination”(目标)为“hr-app-01a”的行。
  2. 单击“Actions”(操作)齿轮图标,然后选择“Create Firewall Rule”(创建防火墙规则)。

 

 

新建防火墙规则:HR_Web to HR_App

 

  1. “Name”(名称):HR_Web to HR_App
  2. 保留所有其他设置为默认值,并单击“OK”(确定)

 

 

配置新的防火墙规则:HR_App to HR_DB

 

  1. 选择“Destination”(目标)为“hr-db-01a”的行。
  2. 单击齿轮图标,然后选择“Create Firewall Rule”(创建防火墙规则)
  3. 选择“Service”(服务)为“ICMP Echo”的行

 

 

新建防火墙规则:HR_App to HR_DB

 

 

 

发布防火墙规则

 

  1. 在“Flow Details”(流详细信息)下,选择“Firewall Rules”(防火墙规则)选项卡。在此,我们可以看到刚刚创建的防火墙规则。
  2. 我们还可以在此视图中编辑和删除防火墙规则。
  3. 单击“Publish”(发布)

 

 

输入名称

 

  1. Section Name(部分名称):HR_DB_App
  2. 选择“Default Section Layer 3”(默认部分第 3 层)

 

 

查看 HR_DB_App 防火墙规则

 

  1. 在“Navigator”(导航器)窗格中,选择“Firewall”(防火墙)

 

 

HR_DB_App 3 层防火墙规则

 

在此,我们可以查看刚刚在 Application Rule Manager 中配置的防火墙规则。接下来,我们将测试 HR_DB_App 能否让网页仍旧解析数据,并阻止不安全的流量。

 

 

编辑默认防火墙规则

 

  1. 在“Default Rule”(默认规则)下,单击铅笔图标以编辑规则。
  2. “Action”(操作):“Block”(阻止)
  3. 单击“Save”(保存)

 

  1. 发布变更

 

 

验证 HR_DB_App 是否正在运行

 

如果您已关闭“HOL-HR Department”(HOL HR 部门)选项卡,请执行以下操作:

  1. 打开一个新的 Chrome 浏览器选项卡
  2. 单击“HR DB App”(HR 数据库应用)书签。

您应该能看到“HR Employee Salary Database”(HR 员工工资数据库)。

 

 

打开命令提示符

 

我们来测试一下能否从主控制台成功地对网络、应用和数据库服务器执行 ping 操作:

  1. ping 172.16.60.10
  2. ping 172.16.60.11
  3. ping 172.16.60.12
ping 172.16.60.10
ping 172.16.60.11
ping 172.16.60.12

现在,我们可以看到 ICMP 流量已被阻止。唯一允许的流量是 HTTPS。

注意:在本练习中,我们将 web-01a 防火墙规则配置成了允许 SSH,因此我们可以通过 PuTTY 访问虚拟机,以进行下一个测试。

 

 

打开 PuTTY

 

ping -c 2 172.16.60.12
  1. ping -c 2 172.16.60.12
  2. 大概 10 秒钟后,按下 Control+C 组合键终止 ping 操作。

现在,我们可以看到从 web-01adb-01a 的流量已被阻止!

 

第 5 单元结束语


祝贺您!您已经完成了第 5 单元的学习!

如果您想了解有关 NSX Application Rule Manager 功能和配置的更多信息,请通过以下 URL 查看 NSX 6.3 文档中心:

练习单元列表:

练习负责人:


 

如何结束练习

 

要结束练习,请单击“END”(结束)按钮。

 

Conclusion

Thank you for participating in the VMware Hands-on Labs. Be sure to visit http://hol.vmware.com/ to continue your lab experience online.

Lab SKU: ManualExport-HOL-1803-02-NET.zip

Version: 20171023-122250