???????????????????????????????? VMware vSphere服務器虛擬化實驗十五 vCenter vShield Manager
VMware? vShield Manager是專為 VMware vCenter Server 集成而構建的安全虛擬設備套件,在vShield5 5.1時被重新命名為VMware vCloud Networking and Security并得到了增強。vShield 是保護虛擬化數據中心免遭攻擊和誤用的關鍵安全組件，可幫助您實現合規性強制要求目標,包含對保護虛擬機至關重要的虛擬設備和服務。可通過基于 Web 的用戶界面、vSphere Client 插件、命令行界面 (CLI) 和 REST API 安裝、配置和維護 vShield。vShield Manager 是 vShield 的集中式網絡管理組件，可作為虛擬設備安裝在 vCenter Server 環境中的任意ESX? 主機上。vShield Manager 可在與安裝 vShield 代理不同的 ESX 主機上運行。一個 vShield Manager 可管理一個 vCenter Server 環境和多個 vShield App、vShield Edge、vShield Endpoint和 vShield Data Security 實例。使用 vShield您可以為各種虛擬機部署構建安全區域。您可以根據特定應用程序、網絡分段或自定義合規性因素隔離虛擬機。確定區域分配策略后，可以通過部署 vShield 在這些區域中強制實施訪問規則。

以下是 vShield 組件包介紹：
A.?vShield Manager: vShield Manager 是 vShield 的集中式網絡管理組件，可作為虛擬設備安裝在 vCenter Server 環境中的任意ESX? 主機上。vShield Manager 可在與安裝 vShield 代理不同的 ESX 主機上運行。使用 vShield Manager 用戶界面或 vSphere Client 插件，管理員可以安裝、配置和維護 vShield 組件。vShieldManager 用戶界面利用 VMware Infrastructure SDK 顯示 vSphere Client 清單面板的副本，并包含 Hosts &Clusters 和 Networks 視圖。(注：不需要許可證，包含在vCenter上)

B.?vShield App：vShield App 是基于管理程序的防火墻，可保護虛擬數據中心中的應用程序免遭基于網絡的攻擊。組織可查看和控制虛擬機之間的網絡通信。您可以基于邏輯構造（如 VMware vCenter? 容器和 vShield 安全組），而不僅是基于物理構造（如 IP 地址）來創建訪問控制策略。此外，可變 IP 尋址會提供在多租戶區域中使用同一 IP地址簡化置備的功能。應當在群集內的每臺 ESX 主機上安裝 vShield App，這樣 VMware vMotion 操作便可正常運行，且虛擬機在ESX 主機之間遷移時仍會受保護。默認情況下，使用 vMotion 無法移動 vShield App 虛擬設備。Flow Monitoring 功能會顯示在應用程序協議級別的虛擬機之間的網絡活動。您可以使用此信息審核網絡流量、定義和細化防火墻策略以及識別對網絡的威脅。（要許可證）

C.?vShield Edge：vShield Edge 可提供網絡邊緣安全和網關服務，用于隔離端口組、vDS 端口組或 Cisco Nexus 1000V 端口組中的虛擬化網絡或虛擬機。可以在數據中心級別安裝 vShield Edge 并添加多達十個內部或上行鏈路接口。vShieldEdge 通過提供 DHCP、VPN、NAT 和負載平衡等常見網關服務將隔離的末端網絡連接到共享（上行鏈路）網絡。vShield Edge 通常部署在 DMZ、VPN 外聯網和多租戶云計算環境中，vShield Edge 在這些環境中為虛擬數據中心 (Virtual Datacenter, VDC) 提供外圍安全保護。而且vShield Edge 支持將所有服務的 syslog 導出到遠程服務器。（要許可證）

D.?vShield Endpoint:vShield Endpoint 可將防病毒和防惡意軟件代理處理任務轉移到 VMware 合作伙伴提供的專用安全虛擬設備上。由于安全虛擬設備（與客戶機虛擬機不同）不會脫機，因此可以不斷地更新防病毒簽名，從而為主機上的虛擬機提供持續保護。另外，還可以在新虛擬機（或處于脫機狀態的現有虛擬機）聯機時，立即使用最新防病毒簽名保護這些虛擬機。vShield Endpoint 可作為虛擬化管理程序模塊和來自第三方防病毒供應商（VMware 合作伙伴）的安全虛擬設備安裝在 ESX 主機上。管理程序可從外部掃描客戶機虛擬機，而無需從每個虛擬機中的代理進行掃描。這使vShield Endpoint 在優化內存使用情況的同時更為有效地避免出現資源瓶頸。（要許可證）

E.?vShield Data Security:可通過 vShield Data Security 查看存儲在組織的虛擬化環境和云環境中的敏感數據。根據 vShield Data Security報告的沖突，您可以確保敏感數據受到充分保護，并且能評估與周圍環境中的法規是否相符。（要許可證）

vShield部署方案：
A.?保護 DMZ:DMZ 是指混合信任區域。客戶端從 Internet 進入以獲取 Web 和電子郵件服務，DMZ 中的服務可能要求訪問內部網絡中的服務。可以將 DMZ 虛擬機置于一個端口組中，并使用 vShield Edge 對該端口組進行保護。vShield Edge 提供防火墻、NAT 和 VPN 以及負載平衡等訪問服務來保護 DMZ 服務。要求訪問內部服務的 DMZ 服務的一個常見示例是 Microsoft Exchange。Microsoft Outlook Web Access (OWA)通常駐留在 DMZ 群集中，而 Microsoft Exchange 后端位于內部群集中。在內部群集中，您可以創建相關防火墻規則，以僅允許來自 DMZ 的 Exchange 相關請求，標識特定的源到目標參數。在 DMZ 群集中，您可以創建相關規則，將對 DMZ 的外部訪問僅限于使用 HTTP、FTP 或 SMTP 協議的特定目標。

B.?隔離和保護內部網絡:可以使用 vShield Edge 將內部網絡與外部網絡隔離。vShield Edge 提供外圍防火墻保護和邊界服務，以保護端口組中的虛擬機，并支持通過 DHCP、NAT 和 VPN 與外部網絡通信。在安全的端口組內，可以在 VDS 所跨的每個 ESX 主機上安裝一個 vShield App 實例，從而保護內部網絡中虛擬機之間的通信。如果您利用 VLAN 標記對流量進行分段，可以使用 App Firewall 創建智能訪問策略。借助 App Firewall（而不是物理防火墻），可以合并或混合共享 ESX 群集中的信任區域。這樣，您會獲得 DRS 和 HA 等功能的最佳利用率和整合效果，而不是擁有單獨的分段群集。將整個 ESX 部署作為單個池來管理遠沒有單獨管理多個池復雜。例如，可根據邏輯、組織或網絡邊界使用 VLAN 對虛擬機區域分段。vShield Manager 利用 Virtual InfrastructureSDK，其清單面板會在 Networks 視圖下顯示 VLAN 網絡視圖。您可以為每個 VLAN 網絡構建訪問規則來隔離虛擬機并丟棄傳輸到這些計算機的未標記流量

C.?保護群集中的虛擬機:可以使用 vShield App 保護群集中的虛擬機。群集中的每臺 ESX 主機上都安裝了 vShield App。當通過 vMotion 或 DRS 在群集中的 ESX 主機之間移動虛擬機時，虛擬機仍受保護。每個 vApp 共享和維護所有傳輸狀態。安裝在群集中每個 ESX 主機上的 vShield App 實例

vShield 組件之間的通信：應將 vShield 組件的管理接口放置在公共網絡（如 vSphere 管理網絡）中。vShield Manager 必須可以連接到vCenter Server、ESXi 主機、vShield App 和 vShield Edge 實例、vShield Endpoint 模塊和 vShield DataSecurity 虛擬機。vShield 組件可以通過路由連接及不同的 LAN 進行通信。VMware 建議您將 vShield Manager 安裝在專用的管理群集（獨立于 vShield Manager 管理的群集）上。每個 vShield Manager 將管理一個 vCenter Server 環境。如果 vCenter Server 或 vCenter Server 數據庫虛擬機位于您要安裝 vShield App 的 ESX 主機上，請在安裝vShield App 之前將其遷移到其他主機上。確保打開以下端口：
1)?來自、到達以及在 ESX 主機、vCenter Server 和 vShield Data Security 之間的端口 443/TCP
2)?用于時間同步的 vShield Manager 和 vShield App 之間的 UDP123
3)?用于使用 REST API 調用的從 REST 客戶端到 vShield Manager 的 443/TCP
4)?用于使用 vShield Manager 用戶界面并啟動與 vSphere SDK 的連接的 80/TCP 和 443/TCP 用于在 vShield Manager 和 vShield App 之間進行通信并排除 CLI 故障的 22/TCP

說明：
????? 環境基于實驗十四，本次實驗只安裝vShield Manager，不做保護部署規劃，測試環境有限制

1、在VMware官網下載測試版vShield? Manager 5.1的OVA模版

2、打開vSphere Client通過部署OVF功能，導入vShield? Manager 5.1的OVA模版創建虛擬機，并根據向導設置好然后設置虛擬機的配置，否則測試環境可能無法啟動，最后啟動虛擬機

3、部署完vShield? Manager虛擬機后，在vSphere Client中打開控制臺登錄（默認用戶:admin,密碼：default），在manager提示中輸入enable，在Password中輸入default啟用設置模式，然后在設置模式輸入setup開始設置過程，CLI setup 向導會引導您完成為 vShield Manager 的管理接口分配 IP 地址并標識默認網絡網關的過程。管理接口的 IP 地址必須可供 vCenter Server、ESXi 主機、所有已安裝的 vShield App、vShield Edge 和vShield Endpoint 實例以及用于系統管理的 Web 瀏覽器訪問。配置完成別忘了重啟虛擬機

4、完成了vShield? Manager虛擬機的初始化后，通過Chrome瀏覽器使用IP地址 https://214.214.51.71 訪問vShield? Manager（IE瀏覽器支持不好）,然后添加vCenter服務器等設置

5、重新打開vSphere Client，打開vShield的菜單觀察變化

視頻分享： http://pan.baidu.com/share/link?shareid=605315024&uk=1025659618

?

VMware vSphere服務器虛擬化實驗十五 vCenter vShield Manager