摘要：虛擬化作為構(gòu)建云基礎(chǔ)架構(gòu)不可或缺的核心技術(shù)，對網(wǎng)絡(luò)與安全的移動性、擴(kuò)展性和隔離性提出了更高的要求。在高校數(shù)據(jù)中心建設(shè)中，通過使用VMware NSX將網(wǎng)絡(luò)和安全性服務(wù)移至虛擬化層，把物理網(wǎng)絡(luò)硬件中的交換、路由、防火墻等功能抽象到軟件中，構(gòu)建網(wǎng)絡(luò)虛擬化和安全性平臺，在基礎(chǔ)架構(gòu)、業(yè)務(wù)部署、運(yùn)維管理等方面兼顧了安全與效率。

關(guān)鍵詞：VMware NSX；虛擬化；微分段；分布式防火墻

一、前言

2019年12月1日正式實施的等保2.0，在通用安全要求之外增加了“云移物工大”的新技術(shù)安全擴(kuò)展要求，其中云計算安全擴(kuò)展要求包括“虛擬化安全保護(hù)”，凸顯了虛擬化安全的重要性。虛擬化技術(shù)作為構(gòu)建云基礎(chǔ)架構(gòu)不可或缺的核心技術(shù)，實現(xiàn)了物理資源的邏輯抽象和統(tǒng)一表示，大大提高了資源的利用率，并能夠根據(jù)用戶業(yè)務(wù)需求的變化，快速、靈活地進(jìn)行資源部署[1]。與此同時，虛擬化環(huán)境下也產(chǎn)生了不同于物理環(huán)境的安全威脅：比如虛擬機(jī)之間互相搶占宿主機(jī)的資源；虛擬機(jī)重啟、遷移引發(fā)系統(tǒng)安全防護(hù)的間歇問題；同一宿主機(jī)上各虛擬機(jī)之間的流量不可見；使用虛擬化之后產(chǎn)生的網(wǎng)絡(luò)安全邊界模糊；用戶失去對物理設(shè)備的直接控制權(quán)；多租戶環(huán)境下的數(shù)據(jù)隱私泄露……由此對安全防護(hù)也產(chǎn)生了新的要求。虛擬化的安全直接影響著云平臺的安全與穩(wěn)定，因此研究虛擬化環(huán)境下的安全問題與解決方案對提高云計算的安全性非常重要。

二、虛擬化網(wǎng)絡(luò)安全的研究思路

虛擬化安全的研究主要包括虛擬化平臺本身的安全、虛擬機(jī)的安全、虛擬存儲的安全、虛擬化網(wǎng)絡(luò)的安全等幾個方向。國內(nèi)外各大虛擬化服務(wù)商采取不同的訪問控制機(jī)制來為各種虛擬化平臺提供安全支持，使用可信計算技術(shù)加強(qiáng)其完整性保護(hù)，并提高整個平臺的防御能力；學(xué)術(shù)界則主要從保障資源共享和數(shù)據(jù)安全的層面對虛擬化訪問控制問題進(jìn)行研究。而在虛擬化網(wǎng)絡(luò)安全研究方面，力圖解決安全邊界感知、內(nèi)部東西向流量監(jiān)控、虛擬機(jī)隔離與遷移等問題，對此業(yè)界提出一些架構(gòu)或方案，但沒有統(tǒng)一的標(biāo)準(zhǔn)或協(xié)議。主要有以下兩種研究思路：

（一）物理設(shè)備處理虛機(jī)流量

由于虛擬化網(wǎng)絡(luò)中，虛擬機(jī)或容器之間的流量對于物理網(wǎng)絡(luò)的安全設(shè)備來說不可見、無法監(jiān)控，所以物理設(shè)備處理虛擬機(jī)流量技術(shù)就是把所有的虛擬機(jī)網(wǎng)絡(luò)流量都發(fā)送到宿主機(jī)相連的物理設(shè)備上進(jìn)行轉(zhuǎn)發(fā)處理[2]，通過物理交換機(jī)、防火墻、IDS等設(shè)備的VLAN隔離、流量監(jiān)控、端口安全、ACL等功能對虛擬機(jī)的網(wǎng)絡(luò)流量進(jìn)行管理，實現(xiàn)上需要采用對傳統(tǒng)數(shù)據(jù)幀打標(biāo)簽以標(biāo)記虛擬機(jī)流量或者創(chuàng)建多通道等方式，這對傳統(tǒng)的軟硬件有升級要求以避免協(xié)議沖突，而且增大了物理網(wǎng)絡(luò)中設(shè)備的轉(zhuǎn)發(fā)壓力。

（二）網(wǎng)絡(luò)安全設(shè)備虛擬化

第二種思路是在虛擬化層實現(xiàn)安全設(shè)備的功能，其原理是在underlay物理網(wǎng)絡(luò)上構(gòu)建overlay虛擬網(wǎng)絡(luò)，創(chuàng)建分布式交換機(jī)、虛擬防火墻，通過設(shè)置一系列安全策略對宿主機(jī)內(nèi)部各虛擬機(jī)間的數(shù)據(jù)流量進(jìn)行監(jiān)控和防護(hù)。虛擬化的安全設(shè)備由軟件定義實現(xiàn)，而其工作方式、配置模式、實現(xiàn)功能與傳統(tǒng)物理網(wǎng)絡(luò)中的安全設(shè)備類似。這種網(wǎng)絡(luò)安全向宿主機(jī)內(nèi)部滲透的方式把安全獨(dú)立于底層的基礎(chǔ)網(wǎng)絡(luò)，并結(jié)合了SDN（軟件定義網(wǎng)絡(luò)）與NFV（網(wǎng)絡(luò)功能虛擬化）的思想，解決了網(wǎng)絡(luò)安全邊界感知的問題，實現(xiàn)虛擬機(jī)之間東西向的流量控制，也減輕了物理網(wǎng)絡(luò)安全設(shè)備的壓力。

三、基于VMware NSX的解決方案

VMware NSX是一個網(wǎng)絡(luò)虛擬化和安全性平臺，能夠以軟件定義的方式構(gòu)建跨數(shù)據(jù)中心、云環(huán)境和應(yīng)用框架的網(wǎng)絡(luò)。借助 NSX，無論應(yīng)用是在虛擬機(jī)、容器，還是在物理服務(wù)器上運(yùn)行，都能夠使應(yīng)用具備更完善的網(wǎng)絡(luò)連接和安全能力[3]。NSX 通過軟件方式重現(xiàn)整個網(wǎng)絡(luò)模型，創(chuàng)建和置備從簡單網(wǎng)絡(luò)到復(fù)雜多層網(wǎng)絡(luò)的不同網(wǎng)絡(luò)拓?fù)洌踩詷?gòu)建到網(wǎng)絡(luò)虛擬化基礎(chǔ)架構(gòu)中。用戶無法篡改安全控制措施，因為它們位于Hypervisor中，因此可以有效地將安全控制措施與工作負(fù)載分離，以保護(hù)跨虛擬、物理、容器化和云等工作負(fù)載數(shù)據(jù)中心的流量。

NSX 使用分布式架構(gòu)，提供網(wǎng)絡(luò)與安全服務(wù)，如交換、路由、負(fù)載均衡、防火墻和 VPN。安全實施控制措施位于每個工作負(fù)載的虛擬網(wǎng)絡(luò)接口中，可提供精細(xì)化的機(jī)制來監(jiān)管流量。

NSX 融合了 NFV 與 SDN 的理念與技術(shù)，實現(xiàn)了管理、控制、數(shù)據(jù)三個平面的分離[4]，各功能組件的體系層次（如圖1所示）。管理平面包含 NSX Manager 和 vCenter Server，提供了圖形管理界面UI和API調(diào)用接口，用于實現(xiàn)NSX的配置、管理和監(jiān)控；控制平面包括NSX控制器集群（NSX Controllers Cluster），用于實現(xiàn)NSX網(wǎng)絡(luò)虛擬化和安全功能的中央管理和協(xié)調(diào)；數(shù)據(jù)平面包括NSX虛擬交換機(jī)和NSX Edge傳輸節(jié)點，能處理東西向和南北向流量，實現(xiàn)分布式交換、防火墻、負(fù)載均衡、VPN、邊界網(wǎng)關(guān)等網(wǎng)絡(luò)虛擬化和安全功能。

四、高校數(shù)據(jù)中心的虛擬化網(wǎng)絡(luò)安全應(yīng)用實例

在高校前期信息化建設(shè)中，為提高資源利用率、降低建設(shè)與運(yùn)維的成本，在數(shù)據(jù)中心構(gòu)建了基于VMware vSphere的虛擬化資源池（如圖2所示），為師生提供計算、存儲等各種資源服務(wù)，改善了信息系統(tǒng)基礎(chǔ)設(shè)施運(yùn)行和管理的現(xiàn)狀，實現(xiàn)了資源的統(tǒng)一管理和高效使用[1]。隨著學(xué)校門戶網(wǎng)站、教務(wù)系統(tǒng)、財務(wù)系統(tǒng)、內(nèi)控OA等不同業(yè)務(wù)系統(tǒng)的上線和升級，以及校園網(wǎng)內(nèi)外訪問需求的不斷增加，校園網(wǎng)內(nèi)數(shù)據(jù)中心安全問題日益凸顯。原來使用的邊界物理防火墻的簡單部署方式已無法滿足數(shù)據(jù)中心虛擬化網(wǎng)絡(luò)的安全管理需求?？紤]到與現(xiàn)有軟硬件架構(gòu)的兼容性、擴(kuò)展性、高可用性要求，選擇VMware NSX作為虛擬化網(wǎng)絡(luò)安全服務(wù)體系構(gòu)建方案。

（一）虛擬化網(wǎng)絡(luò)部署

在原有的vSphere 環(huán)境中部署NSX，存儲層、網(wǎng)絡(luò)層均無需改動，保持各主機(jī)物理上互連互通即可。只在主機(jī)層安裝配置，即可實現(xiàn)網(wǎng)絡(luò)與安全的虛擬化。

整個NSX架構(gòu)主要包含以下組件：

1.vCenter Server（VC）

為 NSX 提供對其管理的環(huán)境和對象（例如分布式交換機(jī)和虛擬機(jī)）的訪問權(quán)限。在 NSX 中，VC被稱為計算管理器。

2.ESXi主機(jī)

配置三臺以上的ESXi 主機(jī)，組成NSX-cluster集群。在 ESXi主機(jī)上安裝 NSX 模塊后，該主機(jī)就成為 NSX 部署的一部分，為主機(jī)傳輸節(jié)點。該主機(jī)上運(yùn)行的虛擬機(jī)VM的網(wǎng)絡(luò)服務(wù)由NSX提供。

3.NSX Edge節(jié)點

也被稱為Edge傳輸節(jié)點，是向所有NSX組件提供網(wǎng)絡(luò)服務(wù)的虛擬機(jī)。NSX Edge節(jié)點是運(yùn)行大多數(shù)網(wǎng)絡(luò)和安全服務(wù)的地方，這里部署了兩個NSX Edge 虛擬機(jī)以組成一個 Edge 集群。

4.NSX Manager

管理NSX環(huán)境的應(yīng)用程序。NSX Manager提供了一個基于 Web 的圖形用戶界面GUI和 REST API，用于創(chuàng)建、配置和監(jiān)控 NSX 組件。在三臺ESXi主機(jī)上分別部署三個NSX Manager虛擬機(jī)，組成NSX Manager集群。

NSX架構(gòu)中還包括以下邏輯網(wǎng)絡(luò)組件：

1.分段

分段是虛擬網(wǎng)絡(luò)中的邏輯交換機(jī)，可以將虛擬機(jī)連接到Tier-1網(wǎng)關(guān)以及將Tier-0網(wǎng)關(guān)連接到物理路由器。

2.Tier-1 網(wǎng)關(guān)

邏輯路由器，在分段之間路由流量，主要處理虛擬網(wǎng)絡(luò)中的東西向流量。

3.Tier-0 網(wǎng)關(guān)

邏輯路由器，將Tier-1網(wǎng)關(guān)連接到物理路由器以便分段，具有外部連接，實現(xiàn)了物理網(wǎng)絡(luò)與虛擬網(wǎng)絡(luò)的連接。

在 vSphere 環(huán)境中需要部署NSX Manager集群、將原來的ESXi主機(jī)轉(zhuǎn)換為主機(jī)傳輸節(jié)點、創(chuàng)建 NSX Edge 集群；然后根據(jù)實際應(yīng)用需求，創(chuàng)建Tier-0、Tier-1網(wǎng)關(guān)，進(jìn)行網(wǎng)段劃分、設(shè)置分段，把虛擬機(jī)的虛擬網(wǎng)卡接口連接到對應(yīng)分段上，完成網(wǎng)絡(luò)拓?fù)涞拇罱ā２渴鹜瓿珊蟮奶摂M化網(wǎng)絡(luò)結(jié)構(gòu)大致如圖3所示。

（二）虛擬化安全實施

1.微分段

傳統(tǒng)網(wǎng)絡(luò)隔離一般采用劃分VLAN或者IP網(wǎng)段的方式。在上面的虛擬化網(wǎng)絡(luò)架構(gòu)中，192.168.100.0為Tier-0網(wǎng)關(guān)的上行接口網(wǎng)段，單獨(dú)設(shè)置VLAN，連接到物理路由器。在Tier-0網(wǎng)關(guān)處，設(shè)置南北向的路由，實現(xiàn)虛擬網(wǎng)絡(luò)與物理網(wǎng)絡(luò)的互連。在服務(wù)器區(qū)域，按照WWW服務(wù)、DB服務(wù)等劃分172.16.10.0、172.16.20.0等不同IP子網(wǎng)，實現(xiàn)相互隔離。分別為每個子網(wǎng)創(chuàng)建分段，即邏輯交換機(jī)，如LS-WEB、LS-DB，把WWW、DB等服務(wù)器的虛擬網(wǎng)卡接口通過對應(yīng)分段與Tier-1網(wǎng)關(guān)相連，實現(xiàn)互聯(lián)互通。

NSX可以在已有的VLAN和網(wǎng)段隔離的基礎(chǔ)上，進(jìn)一步設(shè)置微分段以實現(xiàn)更細(xì)粒度的流量過濾和安全策略控制。微分段顯著改變了數(shù)據(jù)中心邊界內(nèi)的網(wǎng)絡(luò)安全性，一旦有威脅進(jìn)入了網(wǎng)絡(luò)內(nèi)部，NSX可以遏制并阻止它橫向擴(kuò)散至其他服務(wù)器，這大大縮小了威脅的攻擊面，降低了業(yè)務(wù)風(fēng)險，實現(xiàn)方式是通過對虛擬機(jī)添加標(biāo)記、定義安全組、在安全組之間構(gòu)建防火墻，并根據(jù)應(yīng)用需求設(shè)置防火墻安全策略。微分段可以為每個工作負(fù)載創(chuàng)建一個單獨(dú)的“微信任區(qū)域”，在每個虛擬機(jī)的虛擬網(wǎng)卡級別都會強(qiáng)制執(zhí)行防火墻規(guī)則[5]。圖3中的www服務(wù)器，處于同一分段LS-WEB中，其中，在線課程服務(wù)器可供校內(nèi)校外訪問，而內(nèi)控OA系統(tǒng)服務(wù)器只允許校內(nèi)訪問，需要設(shè)置不同的安全策略?？煞謩e對兩臺虛擬服務(wù)器添加不同標(biāo)記----Course server 與OA server，定義安全組，設(shè)置不同的安全策略，實現(xiàn)IP子網(wǎng)中更細(xì)粒度的微分段。安全組的規(guī)劃具有動態(tài)性，虛擬服務(wù)器之間的安全隔離和安全策略也能跟隨虛擬服務(wù)器進(jìn)行遷移，滿足云計算和虛擬化環(huán)境的安全要求[6]。

2.分布式防火墻

傳統(tǒng)防火墻通常部署在物理網(wǎng)絡(luò)邊界，對內(nèi)外網(wǎng)絡(luò)之間經(jīng)過防火墻的數(shù)據(jù)流量按規(guī)則做處理。但虛擬網(wǎng)絡(luò)內(nèi)部的東西向流量不經(jīng)過物理網(wǎng)絡(luò)邊界，傳統(tǒng)防火墻無法處理。NSX使用分布式防火墻（Distributed Firewall，DFW），嵌入Hypervisor內(nèi)核中，無需在各個虛擬機(jī)上安裝代理，可在不更改物理網(wǎng)絡(luò)的情況下保護(hù)工作負(fù)載中的全部東西向流量，從根本上簡化了安全部署模型。它把原來部署在網(wǎng)絡(luò)邊界的物理防火墻功能分發(fā)到各個分段或虛擬機(jī)上，如圖3所示，可對每臺虛擬機(jī)設(shè)置獨(dú)立的安全策略。以上面兩臺www虛擬服務(wù)器為例，通過添加不同標(biāo)記實現(xiàn)微分段，使用分布式防火墻設(shè)置不同的安全策略，可對訪問的IP地址段進(jìn)行限制。微分段、安全組、安全策略都能跟隨虛擬機(jī)進(jìn)行遷移，非常靈活。DFW包括有狀態(tài)的L3-L7防火墻、入侵檢測/防御系統(tǒng)（IDS/IPS）、網(wǎng)絡(luò)沙箱和基于行為的網(wǎng)絡(luò)流量分析[5]。DFW可以保護(hù)虛擬網(wǎng)絡(luò)內(nèi)部的數(shù)據(jù)流量，即便出現(xiàn)內(nèi)部安全威脅，也能避免威脅越過網(wǎng)絡(luò)邊界造成更大危害。

對于無法分發(fā)到Hypervisor的網(wǎng)絡(luò)和安全服務(wù)，可通過NSX Edge傳輸節(jié)點來實現(xiàn)網(wǎng)關(guān)防火墻的功能。NSX Edge節(jié)點是具有容量池的服務(wù)設(shè)備，通過 Tier-0網(wǎng)關(guān)的服務(wù)路由器（SR） 組件在虛擬網(wǎng)絡(luò)和物理基礎(chǔ)架構(gòu)之間提供路由連接[5]，處理南北向流量，還可以提供額外的集中式非分布式服務(wù)，例如負(fù)載均衡、NAT、VPN、DHCP等。

3.自動化與可視化

NSX提供基于JSON的REST API，可用于自動部署和配置NSX資源、設(shè)置安全策略和服務(wù)配置等，實現(xiàn)與云管理平臺、postman等自動化工具的集成。這些功能和工具可以加快網(wǎng)絡(luò)部署和配置的速度，提高運(yùn)維的效率，同時降低了人為錯誤的風(fēng)險。

NSX可以主動監(jiān)控虛擬網(wǎng)絡(luò)基礎(chǔ)架構(gòu)、追蹤數(shù)據(jù)流、排查故障及提供自動化安全策略建議?？梢暬木W(wǎng)絡(luò)拓?fù)鋱D清晰地展示虛擬網(wǎng)絡(luò)的節(jié)點和連接關(guān)系，幫助運(yùn)維人員快速了解網(wǎng)絡(luò)拓?fù)?、管理和調(diào)整網(wǎng)絡(luò)配置，簡化工作流程，提高工作效率。

五、結(jié)語

隨著云計算的廣泛應(yīng)用，作為其核心技術(shù)的虛擬化，對網(wǎng)絡(luò)與安全的移動性、擴(kuò)展性和隔離性提出了更高的要求。VMware NSX將網(wǎng)絡(luò)和安全性服務(wù)移至虛擬化層，把物理網(wǎng)絡(luò)硬件中的交換、路由、防火墻等功能抽象到軟件中。在高校數(shù)據(jù)中心的虛擬化網(wǎng)絡(luò)安全服務(wù)體系構(gòu)建中，使用NSX的解決方案，在基礎(chǔ)架構(gòu)、業(yè)務(wù)部署、運(yùn)維管理等方面兼顧安全與效率。未來虛擬化將與云原生緊密結(jié)合，實現(xiàn)多云環(huán)境的安全管理，更加注重靈活性、智能化以適應(yīng)不斷變化的網(wǎng)絡(luò)安全和業(yè)務(wù)需求。

參考文獻(xiàn)

[1]江璜.基于VMware_vSphere的虛擬化資源池應(yīng)用研究[J].軟件工程，2020，23（03）：32-34.

[2]姜建偉.企業(yè)數(shù)據(jù)中心網(wǎng)絡(luò)虛擬化環(huán)境中邊界感知安全技術(shù)和應(yīng)用[J].計算機(jī)應(yīng)用與軟件，2012，29（08）：275-279.

[3]VMware， Inc.VMware NSX datasheet [EB/OL]https：//www.vmware.com/content/dam/digitalmarketing/vmware/zh-cn/pdf/products/nsx/vmware-nsx-datasheet.pdf，2023-03-14.

[4]王磊.基于NFV與SDN高度融合的網(wǎng)絡(luò)虛擬化體系解析[J].電視技術(shù)，2022，46（04）：165-169.

[5] VMware， Inc.VMware NSX 4.1 產(chǎn)品文檔[EB/OL].https：//docs.vmware.com/cn/VMware-NSX/4.1/administration/GUID-FBFD577B-745C-4658-B713-A3016D18CB9A.html，2023-03-14.

[6]朱洪武.基于NSX網(wǎng)絡(luò)虛擬化的微分段機(jī)制探討及應(yīng)用[J].西南民族大學(xué)學(xué)報（自然科學(xué)版），2022，48（04）：428-432.

基金項目：2021年度汕頭職業(yè)技術(shù)學(xué)院科研一般課題“虛擬化網(wǎng)絡(luò)的安全防護(hù)技術(shù)研究”（課題編號：SZK2021Y06）

作者單位：汕頭職業(yè)技術(shù)學(xué)院電子信息學(xué)院

責(zé)任編輯：張津平