VMw are vShield Zones 组件及其工作原理介绍 VMw are 把对虚拟机安全问题的研究方向集中在两个主要的vSphere 组件上:Vmsafe 和 vShield Zones。其中 VMsafe 是一个应用程序通用接口组件,用于帮助第三方厂商创建虚拟化安全产品以更好地保护 VMw are ESX,而 vShield Zones 是一个面向 VMw are 管理员的安全工具。 vShield Zones 本质上是一个设计来保护虚拟机和分析虚拟网络流量的虚拟防火墙。接下来我会用连续的三章,来解释如何安装和有效管理vShield Zone。现在,让我们从最基本的介绍开始:什么是 vShield Zones 以及它是如何工作的。 vShield Zones 概述 vShield Zones本质上是一个基于2008 年发布的 Blue Lane 技术实现的虚拟防火墙,被设计用来保护虚拟机和分析网络流量。现在的vShield Zones 1.0 版本还无法跟 Vmw are 最新的 Vmsafe 技术集成。根据 Vmw are 的计划,在即将发布的新版 vShield Zones 中会使用VMsafe API。在 Advanced、Enterprise 和 Enterprise Plu 版本的ESX 和 ESXi 已经提供 vShield Zones 组件的免费下载功能。 Vmware通过部署vShield Zones 使用核心产品 实现对虚拟网络的基本保护功能。vShield Zones 提供的网络防护和分析功能与很多第三方的程序类似。如:Reflex Systems Virtualization Management Center、Altor Networks Virtual Firewall 和Catbird 的V-Security。但是相比而言 vShield Zones 没有那么复杂,是一个简化版的产品。简化的好处就是 VMware 的管理员会发现vShield Zones 使用起来非常方便。用户无需成为安全方面的专家就可以熟练部署虚拟机环境中的安全策略。下面列举了 vShield Zones 为您的虚拟网络带来的新功能: 防火墙防护——vShield Zones 提供跨 vSwitch 的防火墙防护技术,通过添加规则来允许或阻止特殊的端口访问、协议和流向。防火墙功能被称为“WM Wall”,在数据中心和集群基本中提供一个集中的分级的访问控制列表。其中 Layer 4 和Layerv2/3 的访问规则是可用户自定义的;对应于 OSI 网络协议模型的数据链路层、网络层和传输层。 流量分析——所有通过vShield 设备的数据都获得监控,收集和汇总关于源、目标地、流向和服务相关的信息到 vShield Manager。流量分析功能被称为“VM Flow”,可以在做网络故障诊断、可疑流量分析、创建访问规则时作为参考。 ...
