VMware NSX原理与实践----NSX防火墙详解（一）

**各位赶路的朋友们，天色已晚，前面方圆五十里没有其他的客栈了，夜间出行实在不妥，此地多有土匪横行，还是请各位店内歇息，明日再行赶路，乐意来客栈欢迎您！！！**

前序：前面的内容中介绍了防火墙的两种类型：硬件防火墙和软件防火墙。但是并没有详细介绍，只是开了一个头而已，所以今天继续，给大家挖一挖这个防火墙。
一、NSX防火墙简述
NSX的安全解决方案是以软件的方式提供和部署2到4层的安全防护，在NSX虚拟化平台中提供了两种防火墙功能：一个是由NSX Edge提供的提供的集中化的虚拟防火墙服务，它主要用来处理南北向的流量；另一种就是基于为分段技术的分布式防火墙，主要用来处理东西向流量。一般将NSX分布式防火墙称为DFW.

在上面的图中，可以看到同时使用了NSX Edge防火墙和分布式防火墙的逻辑拓扑。NSX的分布式防火墙通过水平扩展部署Hypervisor的方式来扩充东西向防火墙的处理容量，提供更加精细颗粒度的访问，它提供了更好的自动化部署方式，整个数据中心只需集中化统一管理一个分布式防火墙。
二、NSX防火墙的存在意义
为什莫会有NSX防火墙，想必各位心中已经有了自己的答案，但是还要简单提及一下。众所周知，安全攻击会给企业带来想像不到的打击，但是为什莫在做了无数的防护之后，仍旧无法完全的防止黑客的攻击呢？这是因为当前数据中心的安全防护主要依赖于边界物理防火墙，但是在服务器的内部却是没有了防护功能，就是因为没有内部的横向控制。举一个简单的例子：一位富豪在房子周围布置了无数警卫人员，唯独屋子里面没有任何防护，假设有一名刺客，如果无法突破外围的保护进入房子，那么富豪是安全的，但是如果外面的人都被他杀光了或是被他躲过去了，那么进入房子后还有谁能阻止他的刺杀？说到此，大家应该明白了吧，传统的边界物理防火墙相比于布置有NSX防火墙的数据中心来说就是外强中干！！！小二，给二楼客人上一盘熟牛肉
大家知道，一名黑客要想获得数据，就要通过Internet 访问到Web服务器，继而攻破App服务器等一系列节点，最后才能访问到数据库服务器。要注意到的是从Web服务器到App服务器再到数据库服务器都是数据中心内的东西向流量，这时候数据中心边界的物理防火墙则是没有了防护意义。由此可见光靠部署边界安全的策略已经被证实了不够完善。可能有人会想到为什莫不在数据中心内部部署一台或者多台物理防火墙呢，对于一个小型的数据中心这倒不失为一个好方法，但是如果数据中心中的虚拟机时成百上千台呢，你总不能也要部署成百上千台物理防火墙吧，所以这种方法理论上可行，但是由于投资高，运维复杂，操作上也无法实现完全信任使得其在实践中是无法实现的。
三、NSX防火墙的优势
接下来说一说NSX防火墙的原理吧。之所以大力提倡NSX防火墙，我认为除了能实现程序化快速部署安全策略、完全自动化（安全策略随着虚拟机迁移而迁移）等优点外，我最认可最看重的一个优点就是NSX防火墙可以将防火墙策略的颗粒度大大降低，实现微分段和分布式的架构。好嘞牛肉来了，客官您慢用
什么又是微分段呢？？？微分段是针对以往的防火墙策略颗粒度太粗而提出的。以往的虚拟防火墙技术一般是安装在某台主机上的一台虚拟机上，这就意味着每台主机的所有的下属的虚拟机都将会共用一台虚拟机的防火墙。而用了基于微分段的分布式防火墙技术后，就可以在每一台虚拟机上装一台防火墙，并与虚拟机的每块vNIC进行策略关联，使得每台虚拟机的流量在出栈和入栈时都可以得到安全防护，执行就近的允许、拒绝和阻断策略。
这种防火墙的策略是独立于网络拓扑的，这句话有些含蓄，我换个方式：无论企业的逻辑网络是基于VLAN还是VXLAN，都能有作用，因为每台虚拟机上都部署了一台属于自己的防火墙，所以虚拟机的流量在流出虚拟机时就受到了安全策略的保护限制，也就是说VXLAN的流量在被Hypervisor的VTEP封装之前就已经执行了防火墙策略。除此之外，因为微分段技术将防火墙的颗粒度精细到了每台虚拟机，而且防火墙的策略也是与虚拟机绑定，这也就意味防火墙无需关心IP地址，可以实现随虚拟机的迁移而迁移，听了这些，是不是感觉NSX防火墙策略很牛X。
四、总结
上面的内容简单的介绍了NSX防火墙以及NSX防火墙的原理、意义，明日将会详细介绍NSX分布式防火墙如何实现微分段，欲知后事如何，请听下回分解！！！
各位客官早些休息，莫要耽误了明早的赶路，小二啊，上闸板，打烊