NSX 防火墻的核心功能集是訪問控制，通過 NSX 防火墻可以減小攻擊面。它有兩種形式，一種是上圖左側(cè)的分布式防火墻，采用了分布式的架構(gòu)，上圖右邊是網(wǎng)關(guān)防火墻。大多數(shù)人可能都知道，分布式防火墻本質(zhì)上是一個透明的 4 層到 7 層的防火墻，它直接應(yīng)用于工作負(fù)載的網(wǎng)絡(luò)接口，并在 hypervisor 的內(nèi)核中運行。NSX 分布式防火墻可以實現(xiàn)虛擬機、裸金屬服務(wù)器以及容器的安全隔離，實現(xiàn)一體化的管理，同時，如果使用分布式防火墻的話，我們只要簡單的把分布式防火墻直接插入到 hypervisor 的內(nèi)核中，而不需要改變物理網(wǎng)絡(luò)的架構(gòu)，同時還可以基于虛擬機的屬性，比如虛擬機的名稱、虛擬機的標(biāo)記來實現(xiàn)動態(tài)的安全組。

　　其次我們再看一下網(wǎng)關(guān)防火墻，網(wǎng)關(guān)防火墻與分布式防火墻不同，分布式防火墻相當(dāng)于透明式的防火墻，而網(wǎng)關(guān)防火墻必須位于網(wǎng)絡(luò)的路徑中，網(wǎng)關(guān)防火墻更多的是用于租戶之間以及南北向的網(wǎng)絡(luò)流量，網(wǎng)關(guān)防火墻通常要部署在 T0 或 T1 的路由器上，T0 或 T1 的路由器要關(guān)聯(lián)到 Edge 上。

　　除了分布式防火墻、網(wǎng)關(guān)防火墻外，NSX 還提供了更高級的安全威脅檢測和響應(yīng)能力，它提供了最強的數(shù)據(jù)中心防御能力。

　　分布式的 IDS/IPS，基于最新的以及動態(tài)生成特征庫準(zhǔn)確地識別安全威脅并且提供了對已知的的攻擊防御能力。

　　網(wǎng)絡(luò)沙箱，它能過全系統(tǒng)仿真沙箱技術(shù)深入的了解應(yīng)用程序的行為，分析檢測和阻止未知的安全威脅。

　　NTA，網(wǎng)絡(luò)流量分析，它利用了人工智能和以威脅為中心的模型來檢測網(wǎng)絡(luò)中僅靠特征庫無法檢測的惡意活動，比如說端口掃描等。

　　分布式 IDS/IPS、網(wǎng)絡(luò)沙箱和 NTA 組件都會產(chǎn)生與單個主機相關(guān)的告警，這些告警信息也會關(guān)聯(lián)到 NDR 引擎，通過這些告警的聚合，為安全分析人員提供一個高級的威脅檢測和響應(yīng)能力。

　　那我們先看一下 NSX 分布式 IDS/IPS。傳統(tǒng)的 IDS/IPS 以及分析的平臺部署全部采用集中式的部署，而且需要通過流量鏡像的方式把應(yīng)用的流量鏡像到 IDS 上。而 IPS 接到網(wǎng)絡(luò)中，我們還要考慮如果將流量通過路由的方式引到 IPS 設(shè)備上去。另外，傳統(tǒng)的 IDS/IPS 都是采用硬件來部署，一方面由于流量要集中到 IDS 和 IPS，所以 IDS/IPS 可能會產(chǎn)生性能上的瓶頸，如果要增加性能，就要將現(xiàn)有的 IDS/IPS 替換成能力更強的設(shè)備。由于都是硬件設(shè)備，所以部署這些安全設(shè)備，需要額外的機房空間、電力以及制冷系統(tǒng)，還要定期地對這些硬件設(shè)備進(jìn)行巡檢。而 NSX 分布式 IDS/IPS 采用分布式架構(gòu)，直接將 IDS/IPS 應(yīng)用到 hypervisor 層，而且提供了豐富的入侵日志并提供宿源的能力。如下圖所示：

　　

　　上圖是 NSX 分布式 IDS/IPS 威脅事件的可視化界面。在這個界面上可以顯示所有的攻擊的行為。我們看到，這里有很多的點，點的大小和顏色代表的威脅的嚴(yán)重的程度，如果有的點在不停的閃爍的話，代表在那個時間點有攻擊行為發(fā)生。那我們看一下圖的上部，這里邊可以過濾我們要查看的事件，我們可以選擇極高風(fēng)險、高風(fēng)險等不同級別的事件進(jìn)行查看。在入侵細(xì)部分，我們看到了攻擊的日志，我們從這個圖上可以看到非常詳細(xì)的信息，這些信息包括攻擊的來源，攻擊的目的 IP，以及攻擊的方式，還有攻擊的類型，匹配的特征碼以及這個攻擊行為影響的虛擬機等信息，在右下角，我們看到了柱狀圖，柱狀圖的顏色代表了哪些是被檢測到的攻擊哪些是被阻止的攻擊類型。

　　IDS/IPS 更多的是基于特征庫的安全防護(hù)，多數(shù)為已知的安全威脅，那么對于那些未知的安全威脅，該如何提供安全防御的能力呢。接下來介紹一下通過全系統(tǒng)仿真沙箱技術(shù)。

　　

　　VMware 的沙箱的特點是它使用了一個完整的系統(tǒng)仿真分析應(yīng)用，這使我們能夠看到應(yīng)用內(nèi)部的進(jìn)程執(zhí)行情況。而傳統(tǒng)的沙箱只能看到應(yīng)用程序和底層操作系統(tǒng)的調(diào)用。也就是說，傳統(tǒng)的沙箱將應(yīng)用程序看作為一個黑匣子，黑匣子里邊發(fā)生了什么，我們不知道。而 VMware 的沙箱技術(shù)可以打開這個黑匣子，看到這個黑匣子內(nèi)部的一些行為。在上圖中橙色的部分，我們看到應(yīng)用程序正在檢查是否有沙箱的存在，如果檢查到了沙箱的存在，它就會執(zhí)行指定規(guī)避這個檢查。通過這種額外的可視性，很明顯我們更容易檢測到逃逸的行為。通過這個全系統(tǒng)仿真沙箱，我們對應(yīng)用程序的行為更加深入地理解，更容易發(fā)現(xiàn)惡意的軟件以及安全風(fēng)險。

　

　　接下來讓我們來詳細(xì)地看一看 NTA 網(wǎng)絡(luò)流量分析組件。我們在 NTA 中使用了人工智能建立的模型來檢測惡意的網(wǎng)絡(luò)流量。為檢測到惡意的網(wǎng)絡(luò)流量，可以通過以下兩個步驟來去實現(xiàn)：第一步，所有的網(wǎng)絡(luò)流量使用非監(jiān)督式的機器學(xué)習(xí)模型識別網(wǎng)絡(luò)中的異常流量，并且把這些異常的流量與正常的流量區(qū)分開，但這還不夠，因為并不是每一個異�，F(xiàn)象都是一種威脅，在第二步中，我們對異常的流量使用以威脅為中心的機器學(xué)習(xí)模型，這些模型允許我們能夠識別真正的威脅，并且減少誤報。

　　那么，在這里我們以威脅為中心的機器學(xué)習(xí)模型使用了監(jiān)督式的機器學(xué)習(xí)，那如何去訓(xùn)練他們呢？我們在這里可以通過沙箱每天分析的數(shù)百萬個樣本來去訓(xùn)練他們。

　　在整體方案之上，VMware 還提供了集中的策略分析和策略推薦引擎，通過對惡意的行為分析，提供整體的安全事件響應(yīng)清單。vRNI 和 NSX intelligence 提供了應(yīng)用的拓?fù)浒l(fā)現(xiàn)以及策略的推薦，為安全團隊提供安全行為分析和策略的推薦，簡化多云環(huán)境下的安全運維管理。

　　為滿足多云時代網(wǎng)絡(luò)和安全的需求，NSX 高級安全威脅和防御平臺可以為任意類型的工作負(fù)載提供安全防御能力，通過 NSX 防火墻減小攻擊面，通過分布式 IDS/IPS 以及網(wǎng)絡(luò)沙箱對已知以及未知的惡意行為進(jìn)行檢測和阻止，實現(xiàn)了在多云時代零信任的安全。