VMware NSX 和 Palo Alto Networks技术介绍
VMware_网络虚拟化平台NSX及其实现
好处
• • • • • 在Hypervisor层实现分布式路由 动态的, 基于API的配置 动态路由– OSPF, BGP, IS-IS Logical Router 支持多租户 支持与物理路由器之间跑动态路由
分布式路由– 灵活实现多租户网络
15
分布式逻辑路由网络
Overview
VM
VM
• 虚拟网络之间实现三层路由互联
Physical or Virtual
逻辑交换网络 分布式交换
优化东西向流量
逻辑路由器
集成于kernal 25,000 CPS 2.5 million Sessions
FW, LB, VPN
分布式防火墙 分布式路由 虚拟网络
Edge Services
VMware NSX Software
软件 硬件
Hypervisor
运维模式
独立于硬件
Create, Delete, Grow, Shrink
应用透明 可编程监控 可扩展
向操作虚机一样管理网络…
6
介绍VMware NSX
L2 Switch
L3 Router
Firewall
Load Balancer
借助NSX实现网络虚拟化
像管理虚机一样管 理网络
软件 硬件
7
网络虚拟化 需求
任意网络硬件
自动化及运营管理
• • • •
本节偏重逻辑交换及路由功能 合作厂商可 扩展性 简单介绍4-7层服 务
•
NetX(VMware Network Extensibility Program )高级集成
32
NSX vSphere优化版组件
使用
CMP
VMware NSX网络虚拟化平台
产品介绍/1VMware NSX™ 是提供虚拟机网络操作模式的领先网络虚拟化平台。
与虚拟机的计算模式相似,虚拟网络以编程方式进行调配和管理,与底层硬件无关。
NSX 可以在软件中重现整个网络模型,使任何网络拓扑(从简单的网络到复杂的多层网络),都可以在数秒钟内创建和调配。
它支持一系列逻辑网络元素和服务,例如逻辑交换机、路由器、防火墙、负载平衡器、VPN 和工作负载安全性。
用户可以通过这些功能的自定义组合来创建隔离的虚拟网络。
• 网络调配时间从数天缩减至数秒• 通过自动化功能提高运营效率• 可独立于物理拓扑分配和移动工作负载• 可以部署在任何虚拟化管理程序上并通过任何云计算管理平台使用• 可通过标准 API 实现与第三方网络和安全解决方案的集成• 通过现有的物理网络或下一代拓扑实现无中断部署数据中心网络连接难题当前网络和安全解决方案极不灵活并且十分复杂,通常是由某个特定供应商提供。
这使实现软件定义数据中心的完全敏捷性成本极为昂贵。
在当前运营模型中,网络调配很慢,并且工作负载分配和移动受物理拓扑和手动调配的限制。
物理网络连接和安全方面的限制将日益活跃的虚拟世界重新束缚到了缺乏灵活性的专用硬件上,人为地阻碍了网络体系结构和容量利用率的优化。
手动调配和杂乱无章的管理界面降低了效率,限制了企业根据业务需要快速部署、移动、扩展和保护应用及数据的能力。
VMware NSXVMware NSX 通过提供全新的网络运营模型,解决了这些数据中心难题。
该模型突破了当前物理网络障碍并且允许数据中心操作员将敏捷性和经济性提高若干数量级。
VMware NSX 提供了一整套简化的逻辑网络连接元素和服务,包括逻辑交换机、路由器、防火墙、负载平衡器、VPN 、服务质量、监控和安全保护。
这些服务可以在虚拟网络中通过基于 NSX API 的任何云计算管理平台进行调配,并且可以安排在任何隔离和多租户拓扑中。
虚拟网络可以通过任何现有的网络进行无中断部署,并且可以部署在任何虚拟化管理程序上。
VMware NSX网络虚拟化概览
VMware NSX网络虚拟化概览目录序言 (2)1. VMware NSX网络虚拟化解决方案简介 (2)1.1 VMware服务器虚拟化的前世今生 (2)1.2 服务器虚拟化的优势移植到了网络虚拟化 (8)1.3 NSX解决方案概览 (10)1.4 NSX网络虚拟化应用场景 (14)2.当前主流的Overlay隧道技术 (16)2.1 VXLAN技术 (16)2.2 NVGRE技术 (18)2.3 STT技术 (18)2.4 三种Overlay技术的对比和应用场景 (19)2.5 下一代Overlay技术——Geneve (20)3.各厂商的网络虚拟化解决方案 (22)3.1 Cisco ACI解决方案 (22)3.2 在MicrosoftHyper-V中实现网络虚拟化 (24)3.3 JuniperContrail解决方案 (25)3.4 各厂商网络虚拟化解决方案的比较 (26)4.与VMwareNSX相关的认证 (28)4.1 VMware认证体系简介 (28)4.2 与NSX相关的VMware认证与考试 (30)总结 (31)序言网络虚拟化技术诞生后,有不少厂商都推出了所谓的网络虚拟化解决方案。
这些厂商实现“网络虚拟化”的方式各异,有些是自己研发的项目,有些是通过收购,有些是利用开源项目进行再开发。
而VMware NSX网络虚拟化平台的基本架构到底是怎样的,它与别的厂家有哪些不同?这些问题会在本章进行探讨。
1. VMware NSX网络虚拟化解决方案简介尽管VMware NSX网络虚拟化平台是通过收购Nicira而获得的,但是在收购一年多时间之后,NSX才正式发布。
在这一年多时间里,VMware的研发人员与前Nicira的极客们一起通力合作,将VMware服务器虚拟化平台与Nicira网络虚拟化平台进行了融合,我们现在会发现NSX架构和技术细节(尤其是用于vSphere平台的NSX-V),其实与早期的Nicira NVP平台还是有很大区别,它增加了很多VMware的基因在里面。
Palo_Alto_Networks_NGFW_中文PPT介绍
默认情况下,虚拟线路“default-vwire”将以太网端口 1 和 2 关联在一起,并允许所 有未标记的通信。 - 虚拟线路是默认配置,只应在无需进行交换、路由或网络地址转换(NAT)时使用。
Router
Firewall
PaloAlto
Switch
完全透明,不影响任何现有设备的配置(可进行策略控制)
App-ID
可视性和控制
哪些流量是被允许?
所有Palo Alto Networks
SSL –基于策略的解包
HTTP 协议– 解码 Google Talk – 应用签名 File Transfer (BLOCKED)
的安全性开始于集成的 完整堆栈,针对所有流 量分析,端口,协议或 逃避行为
App-ID
全网可视化的分析、监控及报告
摘要报告 摘要报告
• 摘要报告显示前五个胜利者、失败者和带宽消耗应用程序、应用程序类别、用户 • 和源的图表。
使用电子邮件调度程序,可以定期通过电子邮件传递的报告
其他报告
• 异动监视报告、威胁监测报告、网络监测报告、通信地图报告
旁路模式部署 — 多用于前期测试
• 旁路模式部署能让您通过交换
7000
6000
5000
4000
3000
Looking at the first 48 hours of malware propagation, 95% of infections occur in the first 24 hours
2000
1000
0 1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28 29 30 31 32 33 34 35 36 37 38 39 40 41 42 43 44 45 46 47 48
Paloalto NETWORKS 操作版技术手册
Paloalto NETWORKS 操作版技术手册Paloalto Networks 是全球知名的网络安全厂商,他们提供了一套完整的网络安全解决方案。
其中,Paloalto Networks 操作版技术手册是他们的一款重要产品,它为用户提供了详细的操作手册,帮助他们更好地使用 Paloalto Networks 安全设备。
在本文中,我们将深入探讨 Paloalto Networks 操作版技术手册的相关内容。
一、产品介绍Paloalto Networks 操作版技术手册是一款针对安全设备管理的产品。
该手册提供了完整的用户界面,方便用户进行设备的配置和管理。
利用该手册,用户可以快速了解 Paloalto Networks 安全设备的各项功能,包括防火墙、入侵防御、虚拟专用网(VPN)、应用程序可见性和控制等等。
二、安装与操作用户在使用 Paloalto Networks 操作版技术手册之前,需要先进行安装。
安装过程非常简单,用户只需要下载安装包并按照安装向导进行操作即可。
安装完成后,用户可以通过设备的 IP 地址和连接端口登录 Paloalto Networks 操作版技术手册。
登录成功后,用户可以看到设备的基本信息和状态,包括硬件版本、软件版本、设备健康状态等。
用户可以通过操作版技术手册进行设备配置、日志查看、告警管理等操作,并监控设备运行状态。
三、功能与优势Paloalto Networks 操作版技术手册为用户提供了丰富的功能和优势。
用户可以通过该手册重新审视设备的网络安全策略,快速进行网络安全分析,并灵活地调整策略以满足不同场景下的需求。
同时,该手册还支持多种接入方式,包括本地网络、远程网络、无线网络等,方便用户在不同地点对设备进行管理。
此外,Paloalto Networks 操作版技术手册还支持实时连接监控、带宽管理和报表生成等功能。
这些功能帮助用户更好地了解网络状况,及时发现并解决问题,提高网络的安全性和稳定性。
PaloAltoNetworks解决方案综述(PPT 41页)
Page 4 |
2012 Magic Quadrant for Enterprise Network Firewalls
“Palo Alto Networks continues to both drive competitors to react in the firewall market and to move the overall firewall market forward. It is assessed as a Leader, mostly because of its NGFW design, direction of the market along the NGFW path, consistent displacement of competitors, rapidly increasing revenue and market share, and market disruption that forces competitors in all quadrants to react.”
PaloAltoNetworks 解决方案综述
中国区技术经理 wwan@
Page 1 |
议题
• 公司简介 • 解决方案优势及特性 • 案例分享
Page 2 |
关于Palo Alto Networks
NYSE SYMBOL: PANW 市值超过40亿美金
• 2005年,由极具远见的安全领导者Nir Zuk先生 (Checkpoint Stateful Inspection Inventor; first IDP company, OneSecure co-founder, CTO of Netscreen and Juniper)和前Netscreen及Juniper的首席架构师 毛宇明先生创办。
NSX网络虚拟化简介
V M w are 软件定义数据中心架构:把系统所需求的功能与硬设备脱钩, 在软件内建立并执行
件 软 定义数据中心
业务系统
虚拟机
虚及拟网络 安全
数据中心虚拟化
虚拟储存
运算容量
网络容量
件 不限定采用硬 与布署位置
储存容量
V M w are N SX 将数据中心所需求的网络与安全功能直接于vSp h ere K ern el内提供
功可
单
于vSp h ere直接提供安全 能, 针对至 一虚拟机,提供完整的防火墙、网络与系
统防护
随需建立的网络服务虚拟机 (D C N FV )
务
务
依据业 需求,无额外成本地建立网及络服 虚拟机,提务 供路由器、防火墙、负载平
衡器、 V PN 等网络服
藉由V M w are N SX ,我们能够协助您的数据中心达成
定与扩充
In frastru ctu re 的自动化建立
负载平衡设备 的采购与设定
网络设备采购及 与组态设定
调整
安全设备的采 购与安全政策
设定
及 手动进行信息系统内网络 安全部署,延迟上线时间
动
务
自 :部署业 虚拟机
动变
各务
手 更:产出 业 机器
放置的网段 动变
手 更:路由设定、负载
功
及企
平衡 能、以 与 业环境
件 软
件 硬
功 网络与安全 能于vSp h ere
H yp erviso r内运作
Load Balancing
L3 Routing
L2 Switching
Firewalling
台 停留在实体网络与安全设定的硬件架构,已无法满足虚拟化与云平 内 的业务需求
NSX网路虚拟化技术
NSX網路虛擬化技術黃國帆在Software Defined Anything的時代,虛擬化技術的主戰場不再只限於伺服器,已經是逐步擴及到儲存、網路、資安等整個IT系統;虛擬化降低了實體架構的複雜性,提高了運營效率,並且能夠動態地重新調整底層資源的用途,以便以最佳的方式快速滿足日益動態化的業務需求,本文將探討VMware的虛擬網路平台,能夠為企業帶來什麼革命性的幫助。
一、VMware NSX是什麼?1. 何謂網路虛擬化在探討VMware NSX前,我們要先了解何謂網路虛擬化(Network Virtualization)?大家可以想像我們將資料中心裡的Switch、Router、Firewall和Load Balancer等設備相關的網路功能,將它們實作在hypervisor裡,透過軟體的方式提供,因為不再需要專屬的硬體,因此意味著擺脫了硬體的限制,不必再為了需要某個網路功能,而同時必需進行硬體設備的採購與更換。
如圖一所示,拿伺服器虛擬化與網路虛擬化做類比,前者提供x86 Environment,能創建多個Virtual Machine並有效的運作,而網路虛擬化提供L2-L7的Networks Service,透過Virtual Network的建立,建立整個網路的邏輯架構,提供VM間網路的存取與安全。
圖一伺服器與網路虛擬化比較2. Software Defined Network (SDN)的實現──VMware NSX一種普遍被認同的SDN定義,就是將網路的Data Plane與Control Plane做分離,讓網路架構能夠不受專屬硬體的限制,而能夠具備彈性。
VMwareNSX 透過網路虛擬化的技術來實現SDN 的架構,它能在既有的實體環境(底層),打造出一個全新的邏輯網路(虛擬層)(圖二),而底層與虛擬層的網路架構可以完全不同,因為它不限制底層的硬體(如Server、Switch)是哪個廠牌、型號或需要支援特殊的網路功能,只需要底層網路提供一個穩定且高速的環境。
- 1、下载文档前请自行甄别文档内容的完整性,平台不提供额外的编辑、内容补充、找答案等附加服务。
- 2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
- 3、如文档侵犯您的权益,请联系客服反馈,我们会尽快为您处理(人工客服工作时间:9:00-18:30)。
内容摘要简介 (3)文档的目标读者和目的 (3)解决方案概述. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .3 VMware NSX 网络虚拟化平台概述 (3)Palo Alto Networks 新一代防火墙概述 (5)NSX 体系结构组件 (6)VMware NSX 体系结构 (6)数据平面 (6)控制平面 (6)管理平面 (6)使用平台 (6)NSX for vSphere 的功能性服务 (6)NSX 分布式防火墙保护 (7)网络隔离 (7)网络分段 (7)Palo Alto Networks 解决方案组件 (8)VMware NSX 与 Palo Alto Networks 如何集成 (9)高级安全服务注入、串联和引导 (9)Panorama 服务注册和 VM 系列部署 (9)Service Composer/安全组和动态地址组 (10)流量引导. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 12 VMware NSX 和 Palo Alto Networks 使用情形 (13)使用情形 1:具有跨层高级保护功能的 VXLAN 分段 (13)使用情形 2:具有防恶意软件保护功能的多层应用的微分段 (16)使用情形 3:企业多区域安全性(PCI、生产和开发区域) (18)使用情形 4:弹性应用的缩减/扩展 (19)流量可见性和运维效率 (21)解决方案优势. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .23结束语 (24)参考案例 (24)简介本文档面向有意基于采用 Palo Alto Networks® 新一代防火墙和服务的 VMware® 网络虚拟化解决方案来部署云计算和软件定义的数据中心 (SDDC) 体系结构的虚拟化、安全性和网络架构师。
VMware 是软件定义的数据中心 (SDDC) 领域的先锋,能够提升数据中心的经济效益和业务敏捷性。
SDDC 植根于虚拟化,由三大支柱来定义:服务器虚拟化、存储虚拟化和网络虚拟化。
虽然服务器虚拟化能够让组织加速完成应用部署并降低数据中心成本,但也需要为各个应用快速调配网络连接和安全服务,包括对信任级混合工作负载的支持,从而优化基础架构资源而不影响安全性。
VMware 和 Palo Alto Networks 在集成解决方案上通力协作,使企业客户能够充分利用软件定义的数据中心的潜能,同时针对潜在漏洞提供防护。
该联合解决方案解决了当前数据中心所面临的挑战,包括:• 对虚拟机间的东西向流量缺乏了解• 在虚拟化环境中部署安全措施时需要执行流程密集型手动网络连接配置• 安全性跟不上服务器调配的速度• 虚拟化网络安全平台的功能集不完整或不相关VMware NSX 网络虚拟化平台提供 SDDC 的网络虚拟化支柱。
使用 VMware NSX 平台可延展的服务注入和服务链功能,可在每台 ESXi 服务器上自动、透明地部署来自 Palo Alto Networks 的新一代虚拟化防火墙。
VMware NSX 与 Palo Alto Networks 集中式管理平台之间会共享环境,以便安全团队将安全策略动态应用到虚拟化应用的创建与更改当中。
在实现这一目的的同时,安全性与虚拟化/云计算 IT 管理员之间的职责也能够划分开来。
该集成解决方案具备诸多优势:• 更好的安全性 - 企业可自动化交付 Palo Alto Networks 新一代安全功能,包括可见性、安全应用支持和防御已知和未知威胁,从而保护企业的虚拟和云计算环境。
动态网络安全策略与虚拟应用变化齐头并进• 运维灵活性 - 以自动化且透明方式部署新一代安全功能,没有复杂的手动操作• 加速部署关键业务应用 - 企业可更加快速地调配安全服务以及利用云计算基础架构容量,从而更加有效地部署、迁移和扩展其应用,且无需担心安全性VMware NSX 网络虚拟化概述VMware 的 SDDC 愿景采用了一系列虚拟化技术驱动了经济效益,包括更快的业务响应速度以及更高的数据中心成本效益。
NSX 的功能与“网络 hypervisor”等效,可在软件中重现第 2 至 7 层的全套服务(如交换、路由、访问控制、防火墙、服务质量和负载均衡)。
因此,这些服务能够以编程方式组建为任意组合,不过用这种方式生成唯一的、隔离的虚拟网络只需要几秒钟时间。
与服务器虚拟化以编程方式创建、生成快照、删除和还原基于软件的虚拟机 (VM) 的方式大致相同,NSX 能够创建、生成快照、删除和还原基于软件的虚拟网络。
正如虚拟机独立于底层 x86 平台并允许 IT 将物理主机视为计算容量池一样,虚拟网络也独立于底层 IP 网络硬件,并允许 IT 将物理网络视为一个可以按需使用和调整用途的容量传输池。
不同于传统体系结构,虚拟网络无需重新配置底层物理硬件或拓扑即可以编程方式进行调配、更改、存储、删除和还原。
通过交付全新的网络连接运维模式,NSX 实现了网络连接经济转型,不仅使数据中心管理人员得以将敏捷性和经济性提高若干数量级,还为底层物理网络提供了大大简化的运维模式。
NSX 是一款完全无中断的解决方案,能够部署在任何 IP 网络中,包括现有的传统网络连接模型,以及任何供应商提供的新一代结构架构。
实际上,借助 NSX,您只需通过已有的物理网络基础架构即可部署软件定义的数据中心。
图 1:计算与网络虚拟化的相似之处图 1 指出了计算与网络虚拟化之间的相似处。
借助服务器虚拟化,软件抽象层(服务器 hypervisor)将在软件中重现熟悉的 x86 物理服务器属性(如 CPU、RAM、磁盘、网卡),允许它们以编程方式组建为任意组合,从而在数秒内生成唯一的虚拟机 (VM)。
NSX 包括防火墙保护功能,可提供固有的隔离、安全性和网络分段。
由于每个虚拟网络在自己的地址空间内运行,因此默认情况下,它与所有其他虚拟网络和底层物理网络相隔离。
此方法有效实现了“权限尽可能少”原则,且无需物理子网、VLAN、ACL 或防火墙规则。
传统防火墙解决方案面临性能瓶颈点以及网络容量成本增加的问题,因为需要“发夹式”传输和多个跃点,以使流量路由经过基本网络服务。
数据中心内东西向流量的增加进一步加剧了这一问题。
NSX 专为实现大规模性能而设计,可避免在数据中心操作员为绕过“发夹式”传输而部署高风险路由方案时出现的安全性和服务盲点。
NSX 原生具备延展性,可提供一流的第三方解决方案。
生态系统合作伙伴可利用 NSX 的分布式服务框架和服务注入功能,在逻辑服务链的多个位置中集成高级服务。
借助强大的流量引导功能,可以针对每个应用工作负载,将网络和安全性服务的任意组合按应用策略定义的顺序链接在一起。
NSX 将合作伙伴服务分配给每个hypervisor,让虚拟机在运行时能够本地获得合作伙伴服务。
使用 NSX 平台可延展的服务注入和服务链功能,Palo Alto Networks 建立在 VMware 基于内核的原生防火墙功能之上,可添加新一代安全服务。
Palo Alto Networks 新一代防火墙概述应用使用情况、用户行为和网络基础架构的根本性变化致使威胁形势也有所转变,暴露了基于端口的传统防火墙保护的弱点。
当前,用户正在采用各种不同类型的设备访问数量日益增多的应用,通常只是为了完成他们的工作,很少会考虑到业务或安全风险。
同时,数据中心扩张、网络分段、虚拟化和移动化计划均迫使组织重新思考如何在能够访问应用和数据的基础上,还能够保护网络免遭更加复杂的新型高级威胁的侵害,这些威胁都极其擅长逃避传统安全防护机制。
过去,组织只剩下两个基本选择:要么是为保护网络安全而阻止一切通信,要么是出于业务利益而允许一切通信。
这些选择几乎没留下妥协的余地。
Palo Alto Networks 开创了新一代防火墙,可允许组织同时实现这两个目标,即在防御已知和未知威胁的同时安全启用应用。
Palo Alto Networks 企业级安全平台的独特之处在于使用积极控制模式,可让安全 IT 管理员启用特定应用或功能,并阻止所有其他应用或功能(隐式或显式)。
安全应用支持和积极控制模式使用以下方法:• 时刻对所有端口的全部流量进行分类 - 当今,应用及关联内容使用各种各样的技巧能够轻易绕过基于端口的防火墙。
Palo Alto Networks 企业级安全平台可解决困扰基于端口安全性的流量分类可见性限制问题,方法就是在平台发现流量时即在本机对流量应用多种分类机制,以便确认穿过网络的各个应用的身份以及这些应用是否携带任何威胁或恶意软件。
无论所采用的端口、加密(SSL 或 SSH)或规避技巧是什么,都要对所有流量进行分类。
通常,身份不明的应用只有一小部分流量,然而潜在风险较高,会被自动分类为系统管理。
• 减少威胁占用空间,防止已知威胁 - 在对流量进行全部分类后,组织可仅允许业务所需的应用并检查漏洞利用、恶意软件、危险文件或内容,从而保护他们的网络免遭一系列网络攻击。
入侵防御系统 (IPS) 的功能可阻止网络与应用层的漏洞利用、缓冲区溢出、DoS 攻击以及端口扫描。
防病毒/防间谍软件保护可阻止数百万的恶意软件变种,包括那些隐藏在压缩文件或 Web 流量(压缩的 HTTP/HTTPS)内的病毒以及已知的 PDF 病毒。
对于可能采用 SSL 加密的流量,无论端口如何,可选择应用基于策略的解密来检查流量是否有威胁。
威胁防御功能不只是简单的阻止恶意内容,而是能够通过策略来控制特定文件类型,以及检查特定内容的流量,从而防止数据丢失• 防止未知威胁 - 自定义或其他未知威胁(如自定义或多态恶意软件)越来越多地应用于现代网络攻击。
通过 WildFire 技术在沙箱环境中执行未知文件并直接观察它们的恶意行为,从而分析和识别未知威胁。
如果发现新的恶意软件,系统会在短短 30 分钟内自动为感染文件以及相关恶意软件流量生成并交付一个签名。
WildFire 支持的所有主要文件类型包括:PE 文件;Microsoft Office .doc、.xls 和 .ppt;可移植文档格式 (PDF);Java Applet(jar 和 class);以及 Android 应用软件包 (APK)。