基于NSX的虛擬化網絡安全服務體系構建

摘要：虛擬化作為構建云基礎架構不可或缺的核心技術，對網絡與安全的移動性、擴展性和隔離性提出了更高的要求。在高校數據中心建設中，通過使用VMware NSX將網絡和安全性服務移至虛擬化層，把物理網絡硬件中的交換、路由、防火墻等功能抽象到軟件中，構建網絡虛擬化和安全性平臺，在基礎架構、業務部署、運維管理等方面兼顧了安全與效率。

關鍵詞：VMware NSX；虛擬化；微分段；分布式防火墻

一、前言

2019年12月1日正式實施的等保2.0，在通用安全要求之外增加了“云移物工大”的新技術安全擴展要求，其中云計算安全擴展要求包括“虛擬化安全保護”，凸顯了虛擬化安全的重要性。虛擬化技術作為構建云基礎架構不可或缺的核心技術，實現了物理資源的邏輯抽象和統一表示，大大提高了資源的利用率，并能夠根據用戶業務需求的變化，快速、靈活地進行資源部署[1]。與此同時，虛擬化環境下也產生了不同于物理環境的安全威脅：比如虛擬機之間互相搶占宿主機的資源；虛擬機重啟、遷移引發系統安全防護的間歇問題；同一宿主機上各虛擬機之間的流量不可見；使用虛擬化之后產生的網絡安全邊界模糊；用戶失去對物理設備的直接控制權；多租戶環境下的數據隱私泄露……由此對安全防護也產生了新的要求。虛擬化的安全直接影響著云平臺的安全與穩定，因此研究虛擬化環境下的安全問題與解決方案對提高云計算的安全性非常重要。

二、虛擬化網絡安全的研究思路

虛擬化安全的研究主要包括虛擬化平臺本身的安全、虛擬機的安全、虛擬存儲的安全、虛擬化網絡的安全等幾個方向。國內外各大虛擬化服務商采取不同的訪問控制機制來為各種虛擬化平臺提供安全支持，使用可信計算技術加強其完整性保護，并提高整個平臺的防御能力；學術界則主要從保障資源共享和數據安全的層面對虛擬化訪問控制問題進行研究。而在虛擬化網絡安全研究方面，力圖解決安全邊界感知、內部東西向流量監控、虛擬機隔離與遷移等問題，對此業界提出一些架構或方案，但沒有統一的標準或協議。主要有以下兩種研究思路：

（一）物理設備處理虛機流量

由于虛擬化網絡中，虛擬機或容器之間的流量對于物理網絡的安全設備來說不可見、無法監控，所以物理設備處理虛擬機流量技術就是把所有的虛擬機網絡流量都發送到宿主機相連的物理設備上進行轉發處理[2]，通過物理交換機、防火墻、IDS等設備的VLAN隔離、流量監控、端口安全、ACL等功能對虛擬機的網絡流量進行管理，實現上需要采用對傳統數據幀打標簽以標記虛擬機流量或者創建多通道等方式，這對傳統的軟硬件有升級要求以避免協議沖突，而且增大了物理網絡中設備的轉發壓力。

（二）網絡安全設備虛擬化

第二種思路是在虛擬化層實現安全設備的功能，其原理是在underlay物理網絡上構建overlay虛擬網絡，創建分布式交換機、虛擬防火墻，通過設置一系列安全策略對宿主機內部各虛擬機間的數據流量進行監控和防護。虛擬化的安全設備由軟件定義實現，而其工作方式、配置模式、實現功能與傳統物理網絡中的安全設備類似。這種網絡安全向宿主機內部滲透的方式把安全獨立于底層的基礎網絡，并結合了SDN（軟件定義網絡）與NFV（網絡功能虛擬化）的思想，解決了網絡安全邊界感知的問題，實現虛擬機之間東西向的流量控制，也減輕了物理網絡安全設備的壓力。

三、基于VMware NSX的解決方案

VMware NSX是一個網絡虛擬化和安全性平臺，能夠以軟件定義的方式構建跨數據中心、云環境和應用框架的網絡。借助 NSX，無論應用是在虛擬機、容器，還是在物理服務器上運行，都能夠使應用具備更完善的網絡連接和安全能力[3]。NSX 通過軟件方式重現整個網絡模型，創建和置備從簡單網絡到復雜多層網絡的不同網絡拓撲，并將安全性構建到網絡虛擬化基礎架構中。用戶無法篡改安全控制措施，因為它們位于Hypervisor中，因此可以有效地將安全控制措施與工作負載分離，以保護跨虛擬、物理、容器化和云等工作負載數據中心的流量。

NSX 使用分布式架構，提供網絡與安全服務，如交換、路由、負載均衡、防火墻和 VPN。安全實施控制措施位于每個工作負載的虛擬網絡接口中，可提供精細化的機制來監管流量。

NSX 融合了 NFV 與 SDN 的理念與技術，實現了管理、控制、數據三個平面的分離[4]，各功能組件的體系層次（如圖1所示）。管理平面包含 NSX Manager 和 vCenter Server，提供了圖形管理界面UI和API調用接口，用于實現NSX的配置、管理和監控；控制平面包括NSX控制器集群（NSX Controllers Cluster），用于實現NSX網絡虛擬化和安全功能的中央管理和協調；數據平面包括NSX虛擬交換機和NSX Edge傳輸節點，能處理東西向和南北向流量，實現分布式交換、防火墻、負載均衡、VPN、邊界網關等網絡虛擬化和安全功能。

四、高校數據中心的虛擬化網絡安全應用實例

在高校前期信息化建設中，為提高資源利用率、降低建設與運維的成本，在數據中心構建了基于VMware vSphere的虛擬化資源池（如圖2所示），為師生提供計算、存儲等各種資源服務，改善了信息系統基礎設施運行和管理的現狀，實現了資源的統一管理和高效使用[1]。隨著學校門戶網站、教務系統、財務系統、內控OA等不同業務系統的上線和升級，以及校園網內外訪問需求的不斷增加，校園網內數據中心安全問題日益凸顯。原來使用的邊界物理防火墻的簡單部署方式已無法滿足數據中心虛擬化網絡的安全管理需求。考慮到與現有軟硬件架構的兼容性、擴展性、高可用性要求，選擇VMware NSX作為虛擬化網絡安全服務體系構建方案。

（一）虛擬化網絡部署

在原有的vSphere 環境中部署NSX，存儲層、網絡層均無需改動，保持各主機物理上互連互通即可。只在主機層安裝配置，即可實現網絡與安全的虛擬化。

整個NSX架構主要包含以下組件：

1.vCenter Server（VC）

為 NSX 提供對其管理的環境和對象（例如分布式交換機和虛擬機）的訪問權限。在 NSX 中，VC被稱為計算管理器。

2.ESXi主機

配置三臺以上的ESXi 主機，組成NSX-cluster集群。在 ESXi主機上安裝 NSX 模塊后，該主機就成為 NSX 部署的一部分，為主機傳輸節點。該主機上運行的虛擬機VM的網絡服務由NSX提供。

3.NSX Edge節點

也被稱為Edge傳輸節點，是向所有NSX組件提供網絡服務的虛擬機。NSX Edge節點是運行大多數網絡和安全服務的地方，這里部署了兩個NSX Edge 虛擬機以組成一個 Edge 集群。

4.NSX Manager

管理NSX環境的應用程序。NSX Manager提供了一個基于 Web 的圖形用戶界面GUI和 REST API，用于創建、配置和監控 NSX 組件。在三臺ESXi主機上分別部署三個NSX Manager虛擬機，組成NSX Manager集群。

NSX架構中還包括以下邏輯網絡組件：

1.分段

分段是虛擬網絡中的邏輯交換機，可以將虛擬機連接到Tier-1網關以及將Tier-0網關連接到物理路由器。

2.Tier-1 網關

邏輯路由器，在分段之間路由流量，主要處理虛擬網絡中的東西向流量。

3.Tier-0 網關

邏輯路由器，將Tier-1網關連接到物理路由器以便分段，具有外部連接，實現了物理網絡與虛擬網絡的連接。

在 vSphere 環境中需要部署NSX Manager集群、將原來的ESXi主機轉換為主機傳輸節點、創建 NSX Edge 集群；然后根據實際應用需求，創建Tier-0、Tier-1網關，進行網段劃分、設置分段，把虛擬機的虛擬網卡接口連接到對應分段上，完成網絡拓撲的搭建。部署完成后的虛擬化網絡結構大致如圖3所示。

（二）虛擬化安全實施

1.微分段

傳統網絡隔離一般采用劃分VLAN或者IP網段的方式。在上面的虛擬化網絡架構中，192.168.100.0為Tier-0網關的上行接口網段，單獨設置VLAN，連接到物理路由器。在Tier-0網關處，設置南北向的路由，實現虛擬網絡與物理網絡的互連。在服務器區域，按照WWW服務、DB服務等劃分172.16.10.0、172.16.20.0等不同IP子網，實現相互隔離。分別為每個子網創建分段，即邏輯交換機，如LS-WEB、LS-DB，把WWW、DB等服務器的虛擬網卡接口通過對應分段與Tier-1網關相連，實現互聯互通。

NSX可以在已有的VLAN和網段隔離的基礎上，進一步設置微分段以實現更細粒度的流量過濾和安全策略控制。微分段顯著改變了數據中心邊界內的網絡安全性，一旦有威脅進入了網絡內部，NSX可以遏制并阻止它橫向擴散至其他服務器，這大大縮小了威脅的攻擊面，降低了業務風險，實現方式是通過對虛擬機添加標記、定義安全組、在安全組之間構建防火墻，并根據應用需求設置防火墻安全策略。微分段可以為每個工作負載創建一個單獨的“微信任區域”，在每個虛擬機的虛擬網卡級別都會強制執行防火墻規則[5]。圖3中的www服務器，處于同一分段LS-WEB中，其中，在線課程服務器可供校內校外訪問，而內控OA系統服務器只允許校內訪問，需要設置不同的安全策略。可分別對兩臺虛擬服務器添加不同標記----Course server 與OA server，定義安全組，設置不同的安全策略，實現IP子網中更細粒度的微分段。安全組的規劃具有動態性，虛擬服務器之間的安全隔離和安全策略也能跟隨虛擬服務器進行遷移，滿足云計算和虛擬化環境的安全要求[6]。

2.分布式防火墻

傳統防火墻通常部署在物理網絡邊界，對內外網絡之間經過防火墻的數據流量按規則做處理。但虛擬網絡內部的東西向流量不經過物理網絡邊界，傳統防火墻無法處理。NSX使用分布式防火墻（Distributed Firewall，DFW），嵌入Hypervisor內核中，無需在各個虛擬機上安裝代理，可在不更改物理網絡的情況下保護工作負載中的全部東西向流量，從根本上簡化了安全部署模型。它把原來部署在網絡邊界的物理防火墻功能分發到各個分段或虛擬機上，如圖3所示，可對每臺虛擬機設置獨立的安全策略。以上面兩臺www虛擬服務器為例，通過添加不同標記實現微分段，使用分布式防火墻設置不同的安全策略，可對訪問的IP地址段進行限制。微分段、安全組、安全策略都能跟隨虛擬機進行遷移，非常靈活。DFW包括有狀態的L3-L7防火墻、入侵檢測/防御系統（IDS/IPS）、網絡沙箱和基于行為的網絡流量分析[5]。DFW可以保護虛擬網絡內部的數據流量，即便出現內部安全威脅，也能避免威脅越過網絡邊界造成更大危害。

對于無法分發到Hypervisor的網絡和安全服務，可通過NSX Edge傳輸節點來實現網關防火墻的功能。NSX Edge節點是具有容量池的服務設備，通過 Tier-0網關的服務路由器（SR） 組件在虛擬網絡和物理基礎架構之間提供路由連接[5]，處理南北向流量，還可以提供額外的集中式非分布式服務，例如負載均衡、NAT、VPN、DHCP等。

3.自動化與可視化

NSX提供基于JSON的REST API，可用于自動部署和配置NSX資源、設置安全策略和服務配置等，實現與云管理平臺、postman等自動化工具的集成。這些功能和工具可以加快網絡部署和配置的速度，提高運維的效率，同時降低了人為錯誤的風險。

NSX可以主動監控虛擬網絡基礎架構、追蹤數據流、排查故障及提供自動化安全策略建議。可視化的網絡拓撲圖清晰地展示虛擬網絡的節點和連接關系，幫助運維人員快速了解網絡拓撲、管理和調整網絡配置，簡化工作流程，提高工作效率。

五、結語

隨著云計算的廣泛應用，作為其核心技術的虛擬化，對網絡與安全的移動性、擴展性和隔離性提出了更高的要求。VMware NSX將網絡和安全性服務移至虛擬化層，把物理網絡硬件中的交換、路由、防火墻等功能抽象到軟件中。在高校數據中心的虛擬化網絡安全服務體系構建中，使用NSX的解決方案，在基礎架構、業務部署、運維管理等方面兼顧安全與效率。未來虛擬化將與云原生緊密結合，實現多云環境的安全管理，更加注重靈活性、智能化以適應不斷變化的網絡安全和業務需求。

參考文獻

[1]江璜.基于VMware_vSphere的虛擬化資源池應用研究[J].軟件工程，2020，23（03）：32-34.

[2]姜建偉.企業數據中心網絡虛擬化環境中邊界感知安全技術和應用[J].計算機應用與軟件，2012，29（08）：275-279.

[3]VMware， Inc.VMware NSX datasheet [EB/OL]https：//www.vmware.com/content/dam/digitalmarketing/vmware/zh-cn/pdf/products/nsx/vmware-nsx-datasheet.pdf，2023-03-14.

[4]王磊.基于NFV與SDN高度融合的網絡虛擬化體系解析[J].電視技術，2022，46（04）：165-169.

[5] VMware， Inc.VMware NSX 4.1 產品文檔[EB/OL].https：//docs.vmware.com/cn/VMware-NSX/4.1/administration/GUID-FBFD577B-745C-4658-B713-A3016D18CB9A.html，2023-03-14.

[6]朱洪武.基于NSX網絡虛擬化的微分段機制探討及應用[J].西南民族大學學報（自然科學版），2022，48（04）：428-432.

基金項目：2021年度汕頭職業技術學院科研一般課題“虛擬化網絡的安全防護技術研究”（課題編號：SZK2021Y06）

作者單位：汕頭職業技術學院電子信息學院

責任編輯：張津平