利用分布式防火墻可以把一組虛機(jī)跟其他的網(wǎng)絡(luò)環(huán)境隔離開來(lái)，這些虛機(jī)就像連接在同一個(gè)物理網(wǎng)段上，這個(gè)虛擬的網(wǎng)段稱之為“微分段 （Micro Segmentation）”，微分段內(nèi)的虛機(jī)才可以相互訪問(wèn)。

　　實(shí)際上，這些虛機(jī)可能是分布在不同物理服務(wù)器上的，這些物理服務(wù)器可能位于不同的物理網(wǎng)段，微分段在虛擬網(wǎng)絡(luò)上把這些虛機(jī)與其他網(wǎng)絡(luò)相隔離。我們可以利用微分段在數(shù)據(jù)中心內(nèi)部對(duì)虛機(jī)進(jìn)行隔離，把不同業(yè)務(wù)部門的虛擬服務(wù)器分隔在不同的微分段里，減少應(yīng)用的受攻擊面，提高應(yīng)用的安全性。

　　微分段是一種很好地保護(hù)應(yīng)用和數(shù)據(jù)安全的機(jī)制，但是防火墻規(guī)則還是需要由網(wǎng)絡(luò)管理員手工來(lái)創(chuàng)建的，這就要求管理員對(duì)企業(yè)的應(yīng)用架構(gòu)比較熟悉，只有了解了應(yīng)用之間的調(diào)用關(guān)系、通訊協(xié)議和端口，才能夠比較準(zhǔn)確地配置好微分段。

　　但是應(yīng)用一般是由應(yīng)用組來(lái)負(fù)責(zé)管理的，管理員一般缺乏應(yīng)用的相關(guān)知識(shí)；另外數(shù)據(jù)中心往往運(yùn)行著上百個(gè)應(yīng)用，采用傳統(tǒng)的方法來(lái)配置微分段就顯得尤為挑戰(zhàn)，費(fèi)時(shí)費(fèi)力、容易遺漏和出錯(cuò)。

　　從 6.3 開始，NSX-V 中增加了 Application Rule Manager 工具 （后面簡(jiǎn)稱 ARM），來(lái)幫助用戶自動(dòng)識(shí)別應(yīng)用之間的通訊模式。在 NSX 虛擬化網(wǎng)絡(luò)環(huán)境下，任何一臺(tái)虛機(jī)都可以被置于監(jiān)控模式下 （monitoring mode），在這一模式下 ARM 可以對(duì)虛機(jī)之間的網(wǎng)絡(luò)數(shù)據(jù)包進(jìn)行監(jiān)控和分析，從而得出虛機(jī)之間的通訊模式，并且根據(jù)分析的結(jié)果來(lái)自動(dòng)生成防火墻規(guī)則，來(lái)規(guī)定虛機(jī)之間哪些端口上的哪些協(xié)議是允許的、哪些是應(yīng)該被禁止的，由此創(chuàng)建針對(duì)該應(yīng)用的微分段。ARM 也可以用于分析現(xiàn)有的應(yīng)用環(huán)境，幫助管理員更加深入地了解應(yīng)用之間的通訊模式，進(jìn)而對(duì)現(xiàn)有的防火墻規(guī)則進(jìn)行調(diào)整和優(yōu)化。

　　跟 ARM 配套的另一項(xiàng)功能是端點(diǎn)監(jiān)控工具 EM （Endpoint Monitoring），EM 的分析深入到了虛機(jī)內(nèi)部，它能夠看到虛機(jī)內(nèi)部進(jìn)行網(wǎng)絡(luò)通訊的應(yīng)用進(jìn)程。有了 EM 工具，管理員就可以看到虛機(jī)內(nèi)部有哪些進(jìn)程在哪些端口上偵聽、哪些進(jìn)程正在試圖進(jìn)行網(wǎng)絡(luò)連接；甚至可以看到進(jìn)程的細(xì)節(jié)，例如進(jìn)程名字、應(yīng)用名字、版本號(hào)等。舉個(gè)例子，EM 工具提供的信息能夠詳盡到：”虛機(jī) VM1 中的一個(gè)版本為 的 SQL client 正在連接虛機(jī) VM2 中的版本為 的 SQL Server”。

　　它可以透過(guò)原始的網(wǎng)絡(luò)數(shù)據(jù)流 IP 地址，分析出是虛機(jī)上哪些應(yīng)用在進(jìn)行通訊；它也能夠展示虛機(jī)的細(xì)節(jié)屬性：所屬的安全組、附帶的安全標(biāo)簽等；除了網(wǎng)絡(luò)端口和協(xié)議，ARM 也能夠識(shí)別出應(yīng)用級(jí)的網(wǎng)關(guān)，從而把多個(gè)網(wǎng)絡(luò)數(shù)據(jù)流整合為一種通訊模式。ARM 也能夠在應(yīng)用級(jí)的數(shù)據(jù)流中過(guò)濾掉廣播和組播數(shù)據(jù)包，去掉重復(fù)的信息和合并同樣的通訊模式。通過(guò)一系列的分析，ARM 最終能夠?yàn)橛脩?建議需要?jiǎng)?chuàng)建的安全組和防火墻規(guī)則，管理員只需要按一個(gè)按鈕就可以發(fā)布這些安全規(guī)則。

　　應(yīng)用規(guī)則管理工具 ARM 和端點(diǎn)監(jiān)控工具 EM 能夠幫助管理員更好地了解應(yīng)用內(nèi)部或應(yīng)用之間的網(wǎng)絡(luò)通訊模式，從信息安全“零信任”的角度來(lái)看：所有應(yīng)用正常工作情況下沒有用到的網(wǎng)絡(luò)通訊都應(yīng)該被禁止，在防火墻中對(duì)應(yīng)的網(wǎng)絡(luò)協(xié)議和端口應(yīng)該被設(shè)置成為阻止。在識(shí)別應(yīng)用間通訊模式的基礎(chǔ)上，ARM 和 EM 工具能夠把識(shí)別的結(jié)果一鍵轉(zhuǎn)換為防火墻中的規(guī)則。下面展示了防火墻策略模型，在所有的安全規(guī)則中，應(yīng)用間和應(yīng)用內(nèi)的通訊規(guī)則是 ARM 和 EM 工具能夠?qū)崿F(xiàn)的范圍。

　　自從 ARM 工具推出之后，已經(jīng)在很多客戶的實(shí)際環(huán)境中得到應(yīng)用。例如，某個(gè)用戶使用 ARM 工具監(jiān)控 Skye 應(yīng)用20分鐘，總共觀察到2500個(gè)原始數(shù)據(jù)流，經(jīng)過(guò)分析后合并為300個(gè)；ARM 發(fā)現(xiàn)其中有79個(gè)數(shù)據(jù)流沒有被任何防火墻規(guī)則覆蓋，最后用戶創(chuàng)建了幾條新的防火墻規(guī)則來(lái)覆蓋這79個(gè)數(shù)據(jù)流。

　　下面給大家看一個(gè)利用 ARM 工具來(lái)為應(yīng)用創(chuàng)建微分段的演示視頻。利用 ARM 工具來(lái)為應(yīng)用創(chuàng)建微分段只需要三個(gè)步驟：

　　詳情查看：https://www.bilibili.com/video/av55135774/?redirectFrom=h5

　　VMware 和 Intel 攜手網(wǎng)絡(luò)和安全轉(zhuǎn)型，共同打造虛擬云網(wǎng)絡(luò) （Virtual Cloud Network），為數(shù)字化時(shí)代確定網(wǎng)絡(luò)發(fā)展前景。虛擬云網(wǎng)絡(luò)基于運(yùn)行在 Intel 架構(gòu)上的 NSX 技術(shù)而構(gòu)建， 跨數(shù)據(jù)中心、云、邊緣環(huán)境和任意硬件基礎(chǔ)架構(gòu)提供無(wú)處不在的基于軟件的網(wǎng)絡(luò)連接，具有以下特點(diǎn)：