随着公司快速移动使用的技术,例如像VMWare虚拟化其数据中心,确保数据中心的那些变得更难。随着虚拟化服务器,企业也都采用虚拟化的网络/交换技术。这使得虚拟机去跟另一个虚拟机跨纯粹的虚拟网络而不必触碰任何物理网络基础设施。当您尝试,以确保这些类型的纯虚拟网络业务流可以不再依赖于物理网络上现有的安全设备。你不得不实现虚拟网络管理程序环境本身的虚拟化安全设备内。为此思科与VMWare合作,提供一个完全虚拟化的防火墙产品。该新产品被称为思科虚拟安全网关的Nexus 1000V。是的,太拗口了,我知道,但你可以把它叫做的Nexus 1000V VSG短期或只需将Cisco VSG。思科VGS增加了另一个服务层到现有的Cisco Nexus 1000V虚拟交换机体系结构。您可能已经听说了网络分析模块(NAM)服务或其他服务,L4-7,思科将在不久的将来被添加到1000V的生态系统。整个思科的战略是通过使各种传统的网络服务无缝添加到虚拟化数据中心利用由1000V解决方案创造了强大的虚拟化网络环境。这里只是猜测,但事情像负载均衡,防火墙,IPS,网络分析,应用加速服务等可能是什么来的例子。这些新服务将今天刚刚卡入现有vCenter时,vSphere时,vCloud和其他管理工具已被使用。因此,检查了这一点。随着地方VSG解决方案,您有三个基本步骤启用虚拟化防火墙。联网组创建包括VLAN设置,1000V开关设置中,QoS等,基本上一个交换机端口轮廓具有相同的设置作为一个物理交换机端口配置的做法,但相反,它是一个虚拟模板交换端口的配置文件。 Then the Security group creates a security firewall policy. You can use 5 tuple match traditional ACLs, customer attributes and even VM specific attributes to create your security policy ruleset. The security admin then assigns the security profile to an existing port profile template. Finally the server admin creates their VM instance settings like disk space, cpu, and network settings. As part of the VM network settings they assign the VM to a port profile template. Since this template includes the security policy as well the virtual host will now be properly firewall protected by the VSG solution. Pretty slick huh. As you can see the solution was built with current division of duties in IT departments in mind, and full auditing is done along the way as well. Let's get into the features that the Cisco VSG offers. Here is a brief list of the highlights:
基于区域的防火墙策略。非常喜欢目前的IOS基于区域的防火墙。VM可以是在同一时间的多个区域中的一员。
![]()
- 流量从VM到VM和虚拟机到外部可以被控制。政策不必被捆绑到一个VLAN或子网,而是可以利用定制的属性,例如服务器类型或使用VM属性。您可以使用这些属性来定义您的安全区域。然后,你可以创建一个像DB服务器策略被允许谈论端口443与网络服务器。完全网络无关的政策,即使使用相同的子网或VLAN!
- VSG安全策略不会受到vMotion和一次连接到虚拟机将遵循VM所到之处。因此,保持虚拟机的安全状态。
高性能虚拟防火墙使用VPATH技术来实现的。VPATH非常类似于IOS快速路径。从本质上发生了什么是流的第一部分由VSG虚拟设备(称为虚拟服务节点,VSN)处理。一旦流的安全策略建立了VSG缓存1000V的决定里面并通过流动到1000V。现在流量VPATH处理由1000V,从而实现了很高的性能。
![]()
- 通过思科虚拟网络管理中心(VNMC)集中管理VSG。安全团队将使用VNMC GUI,但服务器团队将继续使用vCenter时,vCloud,或任何以提供虚拟机。VNMC包括XML API,并支持多租户/ RBAC为好。
你不需要拥有每台物理服务器VSG。您可以使用集中式VSG或的VSG覆盖使用1000V和/或Nexus 1010架构的多个物理服务器。
![]()
- 支持高可用性模式。的VSG支持类似活动/备用状态故障切换比思科ASA设备一样。您可以选择在不同的物理服务器分开您的工作和待机的VSG。
下面来看看在部署思科虚拟安全网关解决方案的要求:
有关思科虚拟安全网关的详细信息,请参阅://m.banksfrench.com/news/2010/091410-cisco-data-center.html?t51hb和http://blogs.cisco.com/datacenter/security_in_a_virtual_world_cisco_virtual_security_gateway_for_nexus_1000v/ VSG的应该很快就会发布。你觉得呢?你有没有什么想法?你还有什么其它的虚拟服务,请访问思科发布为Nexus 1000V?
这里提出的意见和信息,我个人的看法,而不是我的雇主。我在没有办法我的雇主的官方代言人。
更多来自詹姆Heary: 信用卡撇:如何窃贼可以窃取你的卡信息而不让你知道 谷歌Nexus One与十大手机安全要求 为什么你应该总是切丝你的登机牌 影碟出租记录比你的在线数据提供更多的隐私保护 关于新的SSL攻击的真相 2009年度都市传奇在IT安全/ A>去 詹姆的博客 有关安全性的文章。*
*
*
*
*
*