【开荒】VMware上部署VSS测试记录与探讨

引言：

      现在很多客户依旧在使用vmware ESXi，由于只使用了服务器虚拟化，不了避免的会出现安全问题，有网络的地方就会有攻防，有需求的地方就会有市场，作为主流的安全厂商，某公司很久之前就有了应用于VMware ESXi 的安全解决方案（VSS），但是遍寻bbs论坛，对此介绍却寥寥无几（截止至2017年10月19日）。

安全设备部署方式讨论：

      如图，橙色区域为一台VMware服务器，在此服务器中运行了一个vSwitch（trunk模式），运行了三台虚拟服务器(BCD,暂不考虑vNGAF)，其中，BC 在同意广播域，D与BC不在同一广播域。

      常规部署的情况下，我们会考虑一台实体防火墙透明部署在E的位置，在此时，虽然能够防护数据进出物理服务器，但是，虚拟机B 与虚拟机C 在直接通信的时候，数据包直接经过vSwitch转发，此时数据包并未经过设备E，E设备也就在此失去了防护能力。

      于是，一个应用于VMware的虚拟化安全解决方案出来了

      此方案中，我们会在VMware服务器中安装一个vNGAF （F），同时安装一个数据重定向的插件，而且此插件会在虚拟机的虚拟网卡中挂钩子，也就是说，虚拟机BCD 网卡发出的数据包会先由钩子进入到设备F(引流），然后由F进行安全检查后，再转发给vSwitch，vSwitch发出的数据包会先引流到设备F，然后再转发给相应的虚拟服务器，设备F以透明的方式部署。

VSS解决方案：

      首先 有一个设备B 我们叫他vls（linux底层，用于对所有的虚拟化工具提供授权，他的授权来自于usbkey授权，需要在VMware中配置usb映射），又有一个设备C，名字叫做VSS(用来管理VMware，自动安装vNGAF，配置引流，下发af配置，收集af日志，有多种授权方式 本次测试授权来自于vls），还有2个vNGAF(用于分析流量，不需要手动安装，配置通过vss获取，不需要手动配置，web界面能打开，但是admin用户提示被锁定）

插曲：

从拓扑的角度来说，我抛出2个小问题，

1、vls的授权来自于外置的usbkey，如果vls发生了迁移，运行在其他物理服务器上，那么授权会？所以配置vls的时候要注意一点什么？

2、如果两台同网段的虚拟服务器运行在不同物理服务器中，需要直接通信，那么在VMware中数据包需要通过业务口上到核心交换机。如果客户没有使用VMware，而是使用了我们的超融合，则此类型的数据会通过哪个口进行传输（四选一 管理口？ 业务口？ vxlan口？虚拟存储口？）

测试部署记录：

      首先，需要在百度网盘中下载最新的vls 和 vss（内含vNGAF）的ova模板（下载地址我就不公开了），然后仔细阅读里面的各类说明文档。

      然后在vmware中部署ova模板，并且上传vls和vss，手动配置vls的信息，关闭自动迁移，然后把usbkey（与超融合key通用）插入到相应的物理服务器中，在vls配置中添加usb驱动和usb映射。关联合适的网卡与vlan。

      然后非常注意一点，校验一下VMware服务器的时间，VLS开机时会自动配置时间为VMware服务器时间，而且以后不会发生变化，而且web界面无法修改时间（当然，如果真的时间错误，就在后台使用date -s 修改吧）。

开启vls和vss，然后再控制台中配置静态ip地址。

在电脑中使用谷歌浏览器打开vls（https，443）观察一下设备的基础配置是否正确，然后，vls中会看到映射的usbkey信息，找我们的测试序列号专员小哥哥开通测试序列号。

      好吧，想必这个vss测试的人太少，ps：要有耐心。不要慌不要慌（没有任何怪罪之意，只是想说 vss的测试真的用的人很少）

      vls获取授权以后，需要对vss进行授权，在vls授权模块中 直接进行授权即可，不需要vss的反馈直接授权（建议加一个认证机制，防止注入攻击）

然后登陆到vss，可以看到已经获得授权

在vCenter里，添加vCenter Server，就是 VMware vSphere 的用户名密码，要求有管理员权限。

然后部署vNGAF（又叫做部署安全防护系统），在选择的时候注意以下几点

1、在部署的时候有两种选择，一个是引流串行，一个是引流旁路，类比虚拟网线和旁路镜像就可以。

2、选择服务器的时候实际上显示的是vmware物理服务器的ip地址，也就是前面原理上所说的，要在哪台物理服务器中安装vNGAF（是单台物理服务器，不是集群）哪台服务器安装了af，就可以保护这台服务器上的所有虚拟机。

3、vNGAF管理网络和vNGAF IP地址实际上是在配置vNGAF的管理口桥接到哪个虚拟交换机上，以及af的管理地址配置为多少。

然后你就可以看到 虚拟防火墙会自动安装，而且也会自动安装引流插件

结尾：

随便说点吧

1、安装引流插件的时候 很有可能会断网一小会，注意一下

2、不需要手动配置vNGAF，vss本身没有防护功能，但是vss可以通过控制vNGAF来控制网络，vNGAF也会把信息传送到vss中。

3、vss的默认应用控制策略是全部允许的，与af刚好相反

4、vss中也分信任区和非信任区，默认状态下，安装vNGAF的物理服务器中的所有虚拟机都会出于信任区中。

5、其他配置与普通防火墙配置并无大区别。

6、最重要的一点，务必注意，谁操作的 谁付全部责任，如果在生产网中部署，操作时务必慎之又慎，最好有VMware工程师协助。部署前把所有的文档全看一遍，预估一下可能发生的风险。

7、由于vss用的人很少，遇到问题打400，效果~~（手动滑稽）。

其他没啥 最后针对第七条

非常棒的分享，欢迎有VSS需求的小伙伴们一起来探讨学习！
给楼主点赞~

沈老板的分享棒棒哒~

亚军就是6  我玩过了哦这个vss  你应该还有说明esxi的版本  

厉害了，我的哥。已打赏！

鹏哥还是叼的起飞，不愧是我鹏哥

会不会说话就不说了，反正你是自带百分百认出别人说话声音的技能

好帖，资瓷

vss用的应该是不多，翻遍论坛，没有找到vss手册。联系400也是没有

感谢分享！！！！！！！！！！！！