随着公司迅速使用VMware等技术虚拟化数据中心,确保这些数据中心变得更加困难。除了虚拟化服务器外,公司还使用虚拟化网络/交换技术。这使虚拟机可以纯粹在虚拟网络上与另一台虚拟机进行交谈,而无需触摸任何物理网络基础架构。当您尝试保护这些类型的纯虚拟网络流量时,您无法再依靠物理网络上的现有安全设备。您被迫在虚拟网络管理程序环境本身内部实现虚拟化安全设备。为此,思科与VMware合作,提供了完全虚拟化的防火墙产品。新产品称为Cisco虚拟安全网关Nexus 1000V。是的,我知道一口气,但您可以将其称为简称或简单的Cisco VSG的Nexus 1000V VSG。Cisco VGS将另一个服务层添加到现有的Cisco Nexus 1000V虚拟交换架构中。您可能已经听说过网络分析模块(NAM)服务或Cisco将在不久的将来将其添加到1000V生态系统中的其他L4-7服务。整个Cisco策略是通过允许将各种传统网络服务无缝添加到虚拟化数据中心,以利用1000V解决方案创建的可靠虚拟化网络环境。只是在这里推测,但是负载平衡,防火墙,IPS,网络分析,应用程序加速服务等可能是即将发生的事情的示例。这些新服务只会捕捉到现有的vCenter,vSphere,vCloud和当今已经使用的其他管理工具。因此,请检查一下。使用VSG解决方案,您基本上有三个步骤可以实现虚拟化的防火墙。网络组创建了一个SwitchPort配置文件,其中包括VLAN设置,1000V开关设置,QoS等。基本上,SwitchPort配置文件具有与物理SwitchPort配置相同的设置,但它是虚拟模板。 Then the Security group creates a security firewall policy. You can use 5 tuple match traditional ACLs, customer attributes and even VM specific attributes to create your security policy ruleset. The security admin then assigns the security profile to an existing port profile template. Finally the server admin creates their VM instance settings like disk space, cpu, and network settings. As part of the VM network settings they assign the VM to a port profile template. Since this template includes the security policy as well the virtual host will now be properly firewall protected by the VSG solution. Pretty slick huh. As you can see the solution was built with current division of duties in IT departments in mind, and full auditing is done along the way as well. Let's get into the features that the Cisco VSG offers. Here is a brief list of the highlights:
基于区域的防火墙政策。非常类似于当前基于iOS区域的FW。VM可以同时成为多个区域的成员。
![]()
- 可以控制来自VM到VM和VM到外部的流量。策略不必与VLAN或子网联系在一起,而是可以利用服务器类型或使用VM属性之类的自定义属性。您可以使用这些属性来定义您的安全区域。然后,您可以制定诸如DB-Server之类的策略,可以与网络服务器交谈443。即使使用相同的子网或VLAN,完全网络不可知的政策!
- VSG安全策略不受VMOTION的影响,一旦连接到VM,将随着VM的任何方式。从而维护VM的安全姿势。
高性能虚拟防火墙是使用vpath技术实现的。vpath与iOS快速路径非常相似。从本质上讲,发生的是流的第一部分由VSG虚拟设备(称为虚拟服务节点,VSN)处理。一旦建立了流量的安全策略,VSG将缓存1000V内部的决定,并将流量传递到1000V。现在,流量是由1000V处理的,因此实现了非常高的性能。
![]()
- 通过思科虚拟网络管理中心(VNMC)的集中式VSG管理。安全团队将使用VNMC GUI,但是服务器团队将继续使用vCenter,vCloud或其他任何提供VM。VNMC包括XML API,并支持多租赁/RBAC。
您不需要每个物理服务器具有VSG。您可以使用1000V和/或Nexus 1010体系结构使用集中式VSG或VSG覆盖多个物理服务器。
![]()
- 支持高可用性模式。与Cisco ASA设备相比,VSG支持类似的活动/待机状态故障转移。您可以选择在不同的物理服务器中将活动和备用VSG分开。
以下是部署Cisco Virtual Security Gateway解决方案的要求:
For more info on the Cisco Virtual Security Gateway see: //m.amiribrahem.com/news/2010/091410-cisco-data-center.html?t51hb and http://blogs.cisco.com/datacenter/security_in_a_virtual_world_cisco_virtual_security_gateway_for_nexus_1000v/ VSG应很快发布。你觉得呢?你有没有什么想法?您还希望看到Nexus 1000V的Cisco发布哪些其他虚拟服务?
这里提出的意见和信息是我的个人观点,而不是我的雇主的观点。我绝不是我的雇主的官方发言人。
Jamey Heary的更多信息: 信用卡掠夺:小偷如何在不知道的情况下窃取您的卡信息 Google Nexus One与十大手机安全要求 为什么你应该始终切碎登机牌 视频租赁记录比您的在线数据提供了更多的隐私保护 关于新SSL攻击的真相 2009 IT安全性的顶级城市传奇/A>去 Jamey的博客 有关安全性的更多文章。*
*
*
*
*
*