美图欣赏 | 设为首页 | 加入收藏 | 网站地图

当前位置:电脑中国 > 网络 > 防火墙 >

开创服务定义防火墙 VMware诠释新安全之道

2019-06-29 23:52|来源:未知 |作者:dnzg |点击:

    网络安全问题一直是IT界令人头疼的问题,尤其是近两年勒索病毒、DDoS攻击等网络攻击呈现加剧的趋势。在不久之前的年度安全盛会RSA2019上,VMware发布了服务定义火墙(Service-defined Firewall)。VMware大中华区高级产品经理傅纯一先生分享了服务定义火墙的先进之处。

开创服务定义防火墙 VMware诠释新安全之道
VMware大中华区高级产品经理傅纯一

      传统防火墙被称为边界防火墙,如果想要保护一个数据中心的网络安全,通常都会在数据中心的网络入口处部署防火墙,从而将来自互联网的攻击阻挡在外。但对于已经进入内网的网络攻击,传统防火墙就会变得束手无策。比如,员工收到的钓鱼邮件,一旦点击访问便会中招,由于企业内网的设备与设备之间并没有防火墙,严重者甚至会导致整个企业内网被感染。也就是说传统防火墙只能防护南北向的流量,并不能阻止东西向的流量。

      对于这种网络攻击,VMware在NSX Data Center里面通过软件实现的分布式防火墙进行防护。而新推出的服务定义防火墙进一步通过对于应用的甄别监测,来保护用户的网络安全。服务定义防火墙通过AppDefense和NSX Data Center一起来联合实现。“AppDefense能够对用户的虚机,应用的行为进行分析。在保护虚机之前,先去学习这个虚机的正常行为应该是什么样子的。学习结束之后,它了解到正常的行为模式,用户就可以进入保护模式。凡是跟正常行为模式不一样的,都可以被判定成为是可疑的、有可能是攻击行为的动作,然后就可以采取一系列响应。所以,首先要对受保护的服务或者应用进行全面的了解,先了解它的正常行为,然后再对其进行保护。”傅纯一讲解道。

开创服务定义防火墙 VMware诠释新安全之道
VMware大中华区高级产品经理傅纯一与媒体交流

      利用上述所在内网中构建的服务定义防火墙,VMware能够为每一个虚机提供防火墙的保护,从而为数据中心内部起到全面保护的作用。在服务定义防火墙的功能中,AppDefense主要是来分辨应用行为是否正常的关键因素。傅纯一解释道:“AppDefense用到了人工智能和机器学习技术。它学习之后会把学习的结果上传到一个云端,我们在云端专门构建了的应用程序验证云(Application Verification Cloud)。VMware的AppDefense在全球有成百上千家用户,针对不同的应用进行学习,把学习模式的结果汇总在一起,使AppDefense的判断结果更加准确。AppDefense是用SaaS的形式来提供的,它是一个云服务。”

      NSX Data Center主要做什么呢?“AppDefense把检查的结果告诉NSX Data Center,让NSX Data Center自动生成防火墙的规则。凡是恶意的,都需要定义一些规则将其访问挡在虚机、应用外面。AppDenfense与NSX Data Center相配合,共同实现了软件定义防火墙。这一防火墙应该说是业界首创的,VMware把传统被动的防御手段变成了一个主动的防御手段,不止能够防护已知攻击手段,而且可以防护将来未知、可能的各种攻击。”傅纯一继续解释道。

      VMware的服务定义防火墙与传统防火墙相比还有三大特点,第一个它是系统原生的;第二个特点是VMware有一个应用程序验证云,它把机器学习的模式全部汇总在云端,总结在一起;第三个特点,它是分布在软件中的,是用软件的方式来实现的,无需再单独采购硬件设备。

      而对多云用户来说,应用不仅在私有云运行,还可能在公有云运行。傅纯一表示:“用户可能或在AWS、或在微软的Azure里面运行,如果单独去为其配备一套安全规则,迁移后再重新配置,这一工作会负担很重、很烦琐,另外很容易造成安全的漏洞。而VMware的服务定义防火墙是跨云的,用户在私有云这边配置完成后,即使哪天把应用迁移到公有云上去了,其保护也会相应迁移。用户在公有云之间进行迁移也是如此,这是VMware多云战略里面的一个巨大优势。”。

(责任编辑:dnzg)