Help us improve your experience.

Let us know what you think.

Do you have time for a two-minute survey?

 
本页内容
 

了解适用于 VMware NSX-T 集成的 Juniper Connected Security

本节概述了瞻博网络 vSRX 虚拟服务网关如何作为高级安全服务集成到 VMware NSX-T 环境中,并将 Junos Space Security Director 作为其安全管理器。

VMware NSX-T 概述

VMware NSX-T 是 VMware 面向软件定义数据中心 (SDDC) 的网络虚拟化平台。与服务器虚拟化一样,网络虚拟化将网络功能与物理设备分离。VMware NSX-T 旨在解决具有异构端点和技术堆栈的应用框架和架构。VMware NSX-T 不直接与 vShpere 耦合,因此它支持各种虚拟机管理程序、容器、裸金属和公共云,例如 Amazon Web Service 和 Azure。借助 VMware NSX-T,您可以为关键数据和服务托管在私有云和 Web 服务或公共云中的高可用性应用中的组织设计混合云。

VMware NSX-T 是 VMware 网络虚拟化产品系列的最新一代。NSX-T 是 NSX-V 的后继产品。NSX-T 支持第三方虚拟机管理程序和新一代叠加封装协议,例如通用网络虚拟化封装 (Geneve)。NSX-T 充当网络虚拟机管理程序,允许对各种网络服务进行软件抽象,包括逻辑交换机(分段)、逻辑路由器(Tier-0 或 Tier-1 网关)、逻辑防火墙、逻辑负载平衡器和逻辑 VPN。

VMware NSX-T 在边缘网关提供 L2-L4 状态防火墙功能、网络分段、多租户支持、L2/L3 VPN、负载平衡器、DHCP、源/目标 NAT 以及更多服务。VMware NSX-T 提供了将高级安全服务作为南北向集成在 Edge 网关的框架。

在 NSX-T 环境中运行的每个虚拟机都可以使用完全有状态防火墙引擎在非常精细的级别策略进行保护。此类策略可以特定于应用程序,包括服务。vSRX 作为服务虚拟机运行,并提供高级服务,例如 L4 到 L7 服务。

为了在 VMware NSX-T 环境中部署 vSRX 虚拟服务网关的高级安全功能,Junos Space Security Director、vSRX 和 NSX-T Manager 作为一个解决方案共同运行,以完全自动化 vSRX 的配置和部署,以保护应用和数据免受高级网络攻击。

vSRX 与 NSX-T Manager 和 Junos Space Security Director 集成

为了在 VMware NSX-T 环境中部署 vSRX 虚拟服务网关的高级安全功能,Junos Space Security Director、vSRX 和 NSX-T Manager 作为联合解决方案共同运行,以完全自动化 vSRX 的配置和部署,以保护应用和数据免受高级网络攻击。

在 VMware NSX-T 环境中集成 vSRX VM 需要与以下管理软件配合使用:

  • Junos Space Security Director — 负责每个 vSRX 实例的服务注册和配置的集中式安全管理平台。借助 Security Director,您可以从一个位置管理由虚拟防火墙和物理防火墙组成的分布式网络。Security Director 充当 NSX-T Manager 和 vSRX 服务网关之间的管理接口。Security Director 管理所有 vSRX 实例上的防火墙策略。

  • NSX-T Manager - VMware NSX 的集中式网络管理组件。

NSX-T Manager 将作为已注册设备添加到 Security Director 中,并且通信由 Junos Space 策略实施器在两个管理平台之间进行双向同步。所有共享对象(如安全组)都将在 NSX-T Manager 和 Security Director 之间同步。这包括所有虚拟机的 IP 地址,包括 vSRX 代理虚拟机。Security Director 会为从 NSX-T Manager 同步的每个安全组创建一个地址组,以及该安全组每个成员的地址。从 NSX-T Manager 中发现的安全组将映射到 Security Director 中的动态地址组 (DAG)。策略实施器保留安全组和动态地址组之间所有 IP 地址的映射。

vSRX 服务网关作为合作伙伴服务设备部署在 VMware NSX-T 环境中。使用安全策略引导所有虚拟机流量通过 vSRX 虚拟机,进行第 4 层至第 7 层的高级安全分析。

高级工作流

图 1 提供了 NSX-T 管理器、Security Director 和 vSRX 如何交互以在 VMware NSX-T 环境中将 vSRX 部署为安全服务的高级工作流。

图 1:vSRX、Security Director 和 VMware NSX-T 集成工作流程 Network architecture showing integration of VMware NSX-T Manager, Juniper vSRX, and NSX Edge Cluster.

  1. Junos Space Security Director 启动与 NSX-T Manager 的通信。Security Director 发现、注册 NSX-T Manager 并将其作为设备添加到其数据库中。Security Director 还会从 .ovf 文件部署 vSRX 实例,并将其注册为安全服务。然后,NSX-T Manager 及其共享对象(例如安全组)和地址清单将与 Security Director 同步。注册过程可使用策略实施器在 Security Director 和 NSX-T Manager 之间启用双向通信。

  2. NSX-T Manager 将已注册的 vSRX 实例作为瞻博网络安全服务部署到 NSX Edge 群集。部署基于 vSRX .ovf 文件。

  3. 将 vSRX 代理虚拟机置备为安全服务后,NSX-T Manager 将使用 REST API 回调通知 Security Director。Security Director 将初始引导配置和 Junos OS 配置策略推送到每个 vSRX 代理虚拟机以支持 NSX-T 安全组。Security Director 可以识别 NSX-T 安全组和相应的地址组,并且会自动发现所有已部署的 vSRX 代理虚拟机。

    安全策略将从特定安全组中的虚拟机发出的相关网络流量重定向到瞻博网络安全服务 vSRX 代理虚拟机,以作进一步分析。

    Security Director 将对象数据库动态同步到 NSX Edge 群集中部署的所有 vSRX 代理虚拟机。从 NSX-T Manager 中发现的安全组将映射到 Security Director 中的动态地址组 (DAG)。Security Director 管理 vSRX 代理虚拟机上的防火墙策略。 使用 Security Director,您可以创建高级安全服务策略(例如,应用防火墙策略或 IPS 策略),然后推送这些策略。

  4. NSX-T Manager 继续向 Security Director 发送有关虚拟环境中更改的实时更新。

相关主题