×

【开荒】VMware上部署VSS测试记录与探讨
  

俺是大逗逼 89781人觉得有帮助

{{ttag.title}}
引言:
      现在很多客户依旧在使用vmware ESXi,由于只使用了服务器虚拟化,不了避免的会出现安全问题,有网络的地方就会有攻防,有需求的地方就会有市场,作为主流的安全厂商,某公司很久之前就有了应用于VMware ESXi 的安全解决方案(VSS),但是遍寻bbs论坛,对此介绍却寥寥无几(截止至2017年10月19日)。

安全设备部署方式讨论:

      如图,橙色区域为一台VMware服务器,在此服务器中运行了一个vSwitch(trunk模式),运行了三台虚拟服务器(BCD,暂不考虑vNGAF),其中,BC 在同意广播域,D与BC不在同一广播域。

      常规部署的情况下,我们会考虑一台实体防火墙透明部署在E的位置,在此时,虽然能够防护数据进出物理服务器,但是,虚拟机B 与虚拟机C 在直接通信的时候,数据包直接经过vSwitch转发,此时数据包并未经过设备E,E设备也就在此失去了防护能力。

      于是,一个应用于VMware的虚拟化安全解决方案出来了

      此方案中,我们会在VMware服务器中安装一个vNGAF (F),同时安装一个数据重定向的插件,而且此插件会在虚拟机的虚拟网卡中挂钩子,也就是说,虚拟机BCD 网卡发出的数据包会先由钩子进入到设备F(引流),然后由F进行安全检查后,再转发给vSwitch,vSwitch发出的数据包会先引流到设备F,然后再转发给相应的虚拟服务器,设备F以透明的方式部署。

VSS解决方案:


      首先 有一个设备B 我们叫他vls(linux底层,用于对所有的虚拟化工具提供授权,他的授权来自于usbkey授权,需要在VMware中配置usb映射),又有一个设备C,名字叫做VSS(用来管理VMware,自动安装vNGAF,配置引流,下发af配置,收集af日志,有多种授权方式 本次测试授权来自于vls),还有2个vNGAF(用于分析流量,不需要手动安装,配置通过vss获取,不需要手动配置,web界面能打开,但是admin用户提示被锁定)

插曲:
从拓扑的角度来说,我抛出2个小问题,
1、vls的授权来自于外置的usbkey,如果vls发生了迁移,运行在其他物理服务器上,那么授权会?所以配置vls的时候要注意一点什么?

2、如果两台同网段的虚拟服务器运行在不同物理服务器中,需要直接通信,那么在VMware中数据包需要通过业务口上到核心交换机。如果客户没有使用VMware,而是使用了我们的超融合,则此类型的数据会通过哪个口进行传输(四选一 管理口? 业务口? vxlan口?虚拟存储口?)

测试部署记录:
      首先,需要在百度网盘中下载最新的vls 和 vss(内含vNGAF)的ova模板(下载地址我就不公开了),然后仔细阅读里面的各类说明文档。

      然后在vmware中部署ova模板,并且上传vls和vss,手动配置vls的信息,关闭自动迁移,然后把usbkey(与超融合key通用)插入到相应的物理服务器中,在vls配置中添加usb驱动和usb映射。关联合适的网卡与vlan。
      然后非常注意一点,校验一下VMware服务器的时间,VLS开机时会自动配置时间为VMware服务器时间,而且以后不会发生变化,而且web界面无法修改时间(当然,如果真的时间错误,就在后台使用date -s 修改吧)。

开启vls和vss,然后再控制台中配置静态ip地址。

在电脑中使用谷歌浏览器打开vls(https,443)观察一下设备的基础配置是否正确,然后,vls中会看到映射的usbkey信息,找我们的测试序列号专员小哥哥开通测试序列号。

      好吧,想必这个vss测试的人太少,ps:要有耐心。不要慌不要慌(没有任何怪罪之意,只是想说 vss的测试真的用的人很少)

      vls获取授权以后,需要对vss进行授权,在vls授权模块中 直接进行授权即可,不需要vss的反馈直接授权(建议加一个认证机制,防止注入攻击)

然后登陆到vss,可以看到已经获得授权


在vCenter里,添加vCenter Server,就是 VMware vSphere 的用户名密码,要求有管理员权限。


然后部署vNGAF(又叫做部署安全防护系统),在选择的时候注意以下几点
1、在部署的时候有两种选择,一个是引流串行,一个是引流旁路,类比虚拟网线和旁路镜像就可以。

2、选择服务器的时候实际上显示的是vmware物理服务器的ip地址,也就是前面原理上所说的,要在哪台物理服务器中安装vNGAF(是单台物理服务器,不是集群)哪台服务器安装了af,就可以保护这台服务器上的所有虚拟机。

3、vNGAF管理网络和vNGAF IP地址实际上是在配置vNGAF的管理口桥接到哪个虚拟交换机上,以及af的管理地址配置为多少。


然后你就可以看到 虚拟防火墙会自动安装,而且也会自动安装引流插件



结尾:
随便说点吧
1、安装引流插件的时候 很有可能会断网一小会,注意一下
2、不需要手动配置vNGAF,vss本身没有防护功能,但是vss可以通过控制vNGAF来控制网络,vNGAF也会把信息传送到vss中。
3、vss的默认应用控制策略是全部允许的,与af刚好相反
4、vss中也分信任区和非信任区,默认状态下,安装vNGAF的物理服务器中的所有虚拟机都会出于信任区中。
5、其他配置与普通防火墙配置并无大区别。
6、最重要的一点,务必注意,谁操作的 谁付全部责任,如果在生产网中部署,操作时务必慎之又慎,最好有VMware工程师协助。部署前把所有的文档全看一遍,预估一下可能发生的风险。
7、由于vss用的人很少,遇到问题打400,效果~~(手动滑稽)。
其他没啥 最后针对第七条

打赏鼓励作者,期待更多好文!

打赏
4人已打赏

Sangfor_闪电回_朱丽 发表于 2017-10-19 09:03
  
非常棒的分享,欢迎有VSS需求的小伙伴们一起来探讨学习!
给楼主点赞~
sangfor_闪电回_小弟 发表于 2017-10-19 09:08
  
沈老板的分享棒棒哒~
qinpeng 发表于 2017-10-30 16:05
  
亚军就是6  我玩过了哦这个vss  你应该还有说明esxi的版本  
稻草 发表于 2017-10-31 09:42
  
厉害了,我的哥。已打赏!
SANGFOR_2062 发表于 2017-10-31 21:02
  
鹏哥还是叼的起飞,不愧是我鹏哥
萌大爷 发表于 2017-11-15 22:42
  
会不会说话就不说了,反正你是自带百分百认出别人说话声音的技能
nihongliang 发表于 2017-11-17 10:16
  
好帖,资瓷
跳海的鱼 发表于 2018-11-16 09:40
  
vss用的应该是不多,翻遍论坛,没有找到vss手册。联系400也是没有
蓝海 发表于 2019-1-3 08:37
  
感谢分享!!!!!!!!!!!!
发表新帖
热门标签
全部标签>
技术盲盒
每日一问
安全效果
干货满满
西北区每日一问
技术笔记
新版本体验
【 社区to talk】
功能体验
技术咨询
标准化排查
产品连连看
2023技术争霸赛专题
GIF动图学习
信服课堂视频
每周精选
自助服务平台操作指引
秒懂零信任
技术晨报
技术圆桌
通用技术
答题自测
安装部署配置
原创分享
玩转零信任
场景专题
升级&主动服务
社区新周刊
POC测试案例
畅聊IT
专家问答
在线直播
MVP
网络基础知识
升级
安全攻防
上网策略
测试报告
日志审计
问题分析处理
流量管理
每日一记
运维工具
云计算知识
用户认证
解决方案
sangfor周刊
VPN 对接
项目案例
SANGFOR资讯
专家分享
技术顾问
信服故事
SDP百科
功能咨询
终端接入
授权
设备维护
资源访问
地址转换
虚拟机
存储
迁移
加速技术
排障笔记本
产品预警公告
信服圈儿
S豆商城资讯
技术争霸赛
「智能机器人」
追光者计划
深信服技术支持平台
社区帮助指南
答题榜单公布
纪元平台
卧龙计划
华北区拉练
天逸直播
以战代练
山东区技术晨报
文档捉虫活动
齐鲁TV
华北区交付直播
2024年技术争霸赛
北京区每日一练
故障笔记
排障那些事
高手请过招
高频问题集锦
全能先锋系列
云化安全能力

本版版主

1
3
10

发帖

粉丝

关注

396
142
63

发帖

粉丝

关注

5
7
7

发帖

粉丝

关注

0
1
0

发帖

粉丝

关注

本版达人

新手61940...

本周建议达人

BGP网络

本周分享达人

BGP网络

本周提问达人