Table of Contents - docs.hol.vmware.comdocs.hol.vmware.com/HOL-2018/Localization/manuals/zh/manualexport-hol... · 练习指导注意：完成本练习需要 90 多分钟。每次最好只完成

Table of Contents练习概述 - HOL-1803-02-NET - VMware NSX：具有微分段功能的分布式防火墙 .......................2

练习指导 ................................................................................................................... 3第 1 单元 - Service Composer 和分布式防火墙概述（45 分钟） ............................................. 8

分布式防火墙 - 微分段概述 .......................................................................................... 9改进了针对虚拟机和 SpoofGuard 的 IP 发现机制 ........................................................ 37安全组概述 .............................................................................................................. 50安全策略概述........................................................................................................... 56查看 Service Composer 画布 .................................................................................. 63第 1 单元 - 结束语.................................................................................................... 70

第 2 单元 - 合并 3 层应用功能讲解示范（15 分钟）............................................................... 72使用 NSX 的分布式防火墙功能保护合并的体系结构 ...................................................... 73第 2 单元 - 结束语.................................................................................................. 105

第 3 单元 - 智能分组（30 分钟）....................................................................................... 107智能分组 ............................................................................................................... 108登录终止支持虚拟机 ............................................................................................... 109安全组创建 ............................................................................................................ 117限制虚拟机访问...................................................................................................... 121验证 Windows XP 虚拟机的有限访问 ....................................................................... 132第 3 单元结束语..................................................................................................... 136

第 4 单元 - 使用 Jump Box 实现基于用户的安全性（45 分钟）.............................................137在 Jump Box 场景中实现基于用户的安全性 ............................................................... 138了解 NSX 和 Active Directory 之间的关联............................................................... 139使用基于 AD 组的安全对象...................................................................................... 149定义内部应用防火墙规则 ......................................................................................... 164测试基于用户身份的规则 ......................................................................................... 171第 4 单元结束语..................................................................................................... 181

第 5 单元 - NSX Application Rule Manager（30 分钟）.................................................... 182第 5 单元：Application Rule Manager................................................................... 183应用微分段 ............................................................................................................ 184第 5 单元结束语 .................................................................................................... 208

HOL-1803-02-NET

Page 1HOL-1803-02-NET

练习概述练习概述 -HOL-1803-02-NET -

VMware NSX：具有微分段功具有微分段功能的分布式防火墙能的分布式防火墙

HOL-1803-02-NET


练习指导练习指导

注意注意：完成本练习需要完成本练习需要 90 多分钟多分钟。每次最好只完成每次最好只完成 2 到到 3 个单元个单元。这些单元彼此相互独立这些单元彼此相互独立，因此因此您可以选择任一单元从头学起您可以选择任一单元从头学起。您可以使用目录访问所选择的任何单元您可以使用目录访问所选择的任何单元。

目录可以从练习手册的右上角访问目录可以从练习手册的右上角访问。

在本练习中，我们将探讨有关 VMware NSX 和微分段的使用情形，还会更深入地了解分布式防火墙和 Service Composer UI。具体使用情形包括合并分段网络、将服务器智能分组和基于用户的安全性方面的解决方案。

练习单元列表：

• 第第 1 单元单元 - Service Composer 和和 DFW 概述概述（45 分钟）- 基础 - 本单元将介绍分布式防火墙和 Service Composer 如何在 3 层应用间创建防火墙规则。

• 第第 2 单元单元 - 合并合并 3 层应用功能讲解示范层应用功能讲解示范（15 分钟）- 基础 - 本单元将为您讲解示范将 3 层应用迁移至合并的单层体系结构的基础知识。

• 第第 3 单元单元 - 智能分组智能分组（30 分钟）- 基础 - 本单元将帮助您了解 NSX 如何利用安全组的动态包含功能保护应用和虚拟机。

• 第第 4 单元单元 - 使用使用 Jump Box 实现基于用户的安全性实现基于用户的安全性（45 分钟）- 基础 - 本单元将演示基于身份的防火墙的功能及其如何通过 Active Directory 集成提供安全性。

• 第第 5 单元单元 - 利用利用 Application Rule Manager 进行应用微分段进行应用微分段（45 分钟）- 基础 - 本单元将演示如何利用 Application Rule Manager 进行应用微分段。

练习负责人练习负责人：

• 第第 1 单元单元 - 美国高级系统工程师美国高级系统工程师 Chris Cousins• 第第 2 单元单元 - 美国高级系统工程师美国高级系统工程师 Chris Cousins• 第第 3 单元单元 - 美国高级系统工程师美国高级系统工程师 Chris Cousins• 第第 4 单元单元 - 美国高级系统工程师美国高级系统工程师 Chris Cousins

本练习手册可以从动手练习文档站点下载，网址为：

http://docs.hol.vmware.com

本练习可能会提供其他语言版本。要设置语言首选项并在练习中部署本地化手册，可以在本文档的帮助指导下完成：

http://docs.hol.vmware.com/announcements/nee-default-language.pdf

HOL-1803-02-NET


http://docs.hol.vmware.com

http://docs.hol.vmware.com/announcements/nee-default-language.pdf

主控制台的位置主控制台的位置

1. 红框区域包含主控制台。练习手册位于主控制台右侧的选项卡上。2. 个别练习可能会用到其他控制台，分别位于左上角的不同选项卡上。如有需要，系统将引导您打开另一特定控制台。

3. 练习限时 90 分钟。练习结果无法保存。所有工作必须在练习课程中完成。但是您可以单击“EXTEND”（延长）延长时间。在 VMware 活动期间，您可以将练习时间延长两次，最多可延长 30 分钟。每单击一次可延长 15 分钟。非 VMware 活动期间，最多可将练习时间延长至 9 小时 30 分钟。每单击一次可延长一小时。

键盘数据输入的替代方法键盘数据输入的替代方法

在本单元中，您将向主控制台中输入文本。除直接输入外，还有两种非常有用的数据输入方法，可简化输入复杂数据的过程。

HOL-1803-02-NET


单击练习手册内容并拖放到控制台的活动窗口单击练习手册内容并拖放到控制台的活动窗口

您也可以单击练习手册中的文本和命令行界面 (CLI) 命令并将其直接拖放到主控制台中的活动窗口。

使用在线国际键盘使用在线国际键盘

您还可以使用主控制台中的在线国际键盘。

1. 单击 Windows 快速启动任务栏上的键盘图标。

<div class="player-unavailable"><h1 class="message">An error occurred.</h1><div class="submessage"><ahref="http://www.youtube.com/watch?v=xS07n6GzGuo" target="_blank">Try watching this video on www.youtube.com</a>, or enableJavaScript if it is disabled in your browser.</div></div>

HOL-1803-02-NET


在活动的控制台窗口中单击一下在活动的控制台窗口中单击一下

在本例中，您将使用在线键盘输入电子邮件地址中所使用的“@”符号。在美式键盘布局中，输入“@”符号需要按住 Shift 并按 2。

1. 在活动的控制台窗口中单击一下。2. 单击“Shift”键。

单击单击“@”键键

1. 单击“@”键。

您会看到活动控制台窗口中输入了 @ 符号。

HOL-1803-02-NET


激活提示或水印激活提示或水印

首次开始练习时，您可能会注意到桌面上有一个水印，提示 Windows 尚未激活。

虚拟化的一个主要优势在于，可以在任意平台上移动和运行虚拟机。本动手练习利用了这一优势，我们可以运行多个数据中心内的练习。但是，这些数据中心的处理器可能不同，因此会通过 Internet触发 Microsoft 激活检查。

请放心，VMware 和这些动手练习完全符合 Microsoft 的许可要求。您使用的练习是一个独立的单元，没有对 Internet 的完全访问权限，而 Windows 需要该权限才能验证激活。如果没有对Internet 的完全访问权限，此自动化过程会失败，并且显示此水印。

这一无关紧要的问题不会影响到您的练习。

查看屏幕右下部分查看屏幕右下部分

请检查练习的所有启动例程是否都已结束，并已准备就绪。如果您看到“Ready”（准备就绪）以外的内容，请等待几分钟。如果 5 分钟后，您的练习仍未变为“Ready”（准备就绪），请寻求帮助。

HOL-1803-02-NET


第第 1 单元单元 - ServiceComposer 和分布式防火墙概和分布式防火墙概

述述（45 分钟分钟）

HOL-1803-02-NET


分布式防火墙分布式防火墙 - 微分段概述微分段概述

NSX 分布式防火墙分布式防火墙 (DFW) 是一个 hypervisor 内核嵌入式防火墙，可用于了解和控制虚拟化的工作负载和网络。您可以基于 VMware vCenter 对象（如数据中心和集群）、虚拟机名称、网络结构（如 IP 或 IPSet、VLAN [DVS 端口组]、VXLAN [逻辑交换机]）、安全组以及 Active Directory(AD) 中的用户组身份来创建访问控制策略。您可以在每个虚拟机的虚拟网卡级别强制实施防火墙规则，以提供一致的访问控制，即使在虚拟机通过 vMotion 迁移期间也是如此。防火墙的 hypervisor嵌入式特性提供接近线速的吞吐量，可以在物理服务器上获得更高的工作负载整合率。防火墙的分布性特征提供了一个横向扩展体系结构，该体系结构可在向数据中心添加更多主机时自动延展防火墙功能。

微分段功能由 NSX 的分布式防火墙 (DFW) 组件提供支持。DFW 在 ESXi hypervisor 内核层运行，能以接近线速的速度处理数据包。每个虚拟机都有自己的防火墙规则和背景环境。DFW 完全支持工作负载移动性 (vMotion)，而且活动连接在迁移期间仍保持完好。这一先进的安全功能可将每个相关的虚拟机组隔离到不同的逻辑网段上，使管理员能够对数据中心网段之间的流量（东西向流量）进行防火墙保护，从而增强数据中心网络的安全性。这使攻击者不能在数据中心内横向移动。

本单元的主要内容包括：

分布式防火墙的基本功能分布式防火墙的基本功能

• 检查 vSphere 主机上的分布式防火墙的状态。• 确保与该 Web 应用的通信以及 3 层之间的通信完全通畅。• 阻止对 3 层应用的访问并进行验证。• 为 Web 层创建安全组。• 创建防火墙规则以允许安全地访问 Web 应用。

改进了针对防火墙功能的改进了针对防火墙功能的 IP 发现机制发现机制

• 审查拒绝访问 Linux-01a 虚拟机的现有规则• 启用通过 Arp 欺骗发现 IP• 确认拒绝规则现已生效并拒绝对 Linux-01a 虚拟机的访问

使用使用 Service Composer 在逻辑上应用安全保护在逻辑上应用安全保护

• 为虚拟机审查并创建由动态成员定义的安全组• 审查、创建防火墙规则并通过安全策略将其应用到安全组• 查看作为展示安全策略与安全组对应关系的界面的 Service Composer 画布

从桌面启动该单元。桌面是您在虚拟环境中的控制中心控制中心 Jumpbox。从此桌面上，您可以访问部署在您的虚拟数据中心内的 vCenter Server Appliance。

特别声明特别声明：在桌面上在桌面上，您将看到一个名为您将看到一个名为 README.txt 的文件的文件。该文件包含用于练习中所有虚拟设该文件包含用于练习中所有虚拟设备和虚拟机的用户帐户和密码备和虚拟机的用户帐户和密码。

HOL-1803-02-NET


关于关于“分布式防火墙分布式防火墙 - 微分段微分段”部分的用户通知部分的用户通知

如果您已经完成练习 HOL-1803-01-NET 的第 6 单元 - 分布式防火墙，请务必注意，本练习中名为“分布式防火墙”的这一部分与该单元重复，您无需再继续完成本练习中的这一部分。如果您想跳过这一部分并进入本练习的下一部分，请使用我们下方提供的链接直接跳过。

单击此处跳到单击此处跳到“改进了针对虚拟机和改进了针对虚拟机和 SpoofGuard 的的 IP 发现机制发现机制”单元单元

键盘数据输入的替代方法键盘数据输入的替代方法

在本单元中，您将向主控制台中输入文本。除直接输入外，还有两种非常有用的数据输入方法，可简化输入复杂数据的过程。

单击练习手册内容并拖放到控制台的活动窗口单击练习手册内容并拖放到控制台的活动窗口

您也可以单击练习手册中的文本和命令行界面 (CLI) 命令并将其直接拖放到主控制台中的活动窗口。

访问访问 vSphere Web Client

1. 通过双击桌面上的“Google Chrome”图标启动 vSphere Web Client。

<div class="player-unavailable"><h1 class="message">An error occurred.</h1><div class="submessage"><ahref="http://www.youtube.com/watch?v=xS07n6GzGuo" target="_blank">Try watching this video on www.youtube.com</a>, or enableJavaScript if it is disabled in your browser.</div></div>

HOL-1803-02-NET


登录登录 vSphere Web Client

如果您尚未登录 vSphere Web Client，请执行以下操作：

（主页应当是 vSphere Web Client。如果不是，请单击 vSphere Web Client 任务栏图标打开Google Chrome。）

1. 在“User name”（用户名）中输入 [email protected]. 在“Password”（密码）中输入 VMware1!3. 单击“Login”（登录）

配置配置 Web 应用访问权限相关规则应用访问权限相关规则

现在，您将配置 3 层应用的分布式防火墙访问权限。该应用有两个 Web 服务器，分别为应用服务器和数据库服务器。还有一个负载均衡器服务于这两个 Web 服务器。

HOL-1803-02-NET


使用使用 PuTTy 测试测试 3 层虚拟机到虚拟机的连接层虚拟机到虚拟机的连接

接下来您将测试网段与构成 3 层应用的客户虚拟机之间的通信和访问。首先打开 web-01a 的控制台，并对其他成员执行 ping 操作。

1. 在桌面任务栏上在桌面任务栏上，单击单击“PuTTY”快捷方式快捷方式2. 选择“web-01a.corp.local”3. 单击“Open”（打开）

HOL-1803-02-NET


从从 web-01a 向其他向其他 3 层成员执行层成员执行 ping 操作操作

首先，输入以下代码以证明 web-01a 可以对 web-02a 执行 ping 操作：

ping -c 2 172.16.10.12

现在测试 web-01a、app-01a 和 db-01a 之间的连接性：

ping -c 2 172.16.20.11

ping -c 2 172.16.30.11

（注意：您可能会在“Ping”行末尾看到“DUP!”。这是由于虚拟练习环境在虚拟路由器中使用嵌套虚拟化和混杂模式所致。在生产环境中不会看到这种情况。）

不要关闭该窗口，只将它最小化供以后使用。

使用使用 Web 浏览器演示浏览器演示 3 层应用层应用

HOL-1803-02-NET


您将使用浏览器访问 3 层应用，以演示 3 个部分之间的功能。

1. 打开一个新的浏览器选项卡2. 单击“Customer DB App”（客户数据库应用）书签

使用使用 Web 浏览器演示浏览器演示 3 层应用层应用（续续）

您应获得从 Web 层传递到 app-01a 虚拟机并最终查询 db-01a 虚拟机后返回的数据。

将默认防火墙策略从将默认防火墙策略从“Allow”（允许允许）改为改为“Block”（阻止阻止）

在这一部分，您将把默认的“Allow”（允许）规则改为“Block”（阻止），并演示如何阻止与 3 层应用的通信。之后，您将创建新的访问规则，以便使用安全的方法重建通信。

1. 单击“vSphere Web Client”对应的浏览器选项卡。

2. 单击“Home”（主页）并选择“Networking and Security”（网络连接和安全性）

3. 选择左侧的“Firewall”（防火墙）。您会在“General”（常规）部分看到“Default SectionLayer3”（默认部分第 3 层）。

检查默认规则检查默认规则

1. 使用下拉箭头下拉箭头展开这一部分

您将看到规则带有绿色绿色对勾。这表示规则已启用。规则以典型方式建立，即包含源、目标和服务字段等。服务是协议和端口的组合。

最后一条默认规则默认规则是基本的“any-to-any-allow”（任意-任意-允许）规则。

HOL-1803-02-NET


了解最后一条默认规则了解最后一条默认规则

滚动到右侧，将鼠标光标放在第 5 条规则的“Action:Allow”（操作: 允许）字段上后，您可以看到这条默认规则的“Action”（操作）选项。屏幕上将弹出一个铅笔符号，用于查看此字段的选项。

1.单击铅笔铅笔图标。

HOL-1803-02-NET


将最后一条默认规则的操作从将最后一条默认规则的操作从“Allow”（允许允许）改为改为“Block”（阻止阻止）

单击下拉菜单箭头，然后选择“Block”（阻止）操作

1. 单击单击“Save”（保存保存）

HOL-1803-02-NET


发布默认规则变更发布默认规则变更

您会注意到出现了一个绿色栏，告诉您现在需要选择“Publish Changes”（发布变更）、“RevertChanges”（还原变更）或“Save Changes”（保存变更）。“Publish”（发布）可将内容推送到DFW。“Revert”（恢复）可取消编辑内容。“Save Changes”（保存变更）可以保存并在日后发布。

1. 选择“Publish Change”（发布变更）以保存您的阻止规则。

HOL-1803-02-NET


确认规则变更阻止了通信确认规则变更阻止了通信

使用之前的 PuTTY 和浏览器会话测试该阻止规则

• PuTTY：在打开 PuTTY 后片刻，将显示它不再处于活动状态，因为默认规则现在阻止包括SSH 在内的一切内容。再次最小化控制台。

HOL-1803-02-NET


确认规则阻止了使用确认规则阻止了使用 Web 浏览器的浏览器的 https 访问访问

1. 打开“Customer DB App”（客户数据库应用）对应的选项卡2. 刷新您的浏览器刷新您的浏览器。您会收到一条错误消息。3. 单击“vSphere Web client”对应的浏览器选项卡。

HOL-1803-02-NET


创建创建 3 层安全组层安全组

1. 单击“Service Composer”。

Service Composer 为在虚拟和云环境中使用网络和安全服务定义了一个新模型。通过简单的可视化以及使用由第三方解决方案内置或增强的服务，策略变得切实可行。可通过导出/导入功能重复这些相同的策略，这将有助于轻松解决环境中出现的问题并使其快速恢复。这些可重复使用的对象之一就是安全组。我们将在本单元的后面部分深入介绍 Service Composer 和安全组。

添加安全组添加安全组

HOL-1803-02-NET


1. 选择“Security Groups”（安全组）。注意：当前可能已有一些要在另一个练习单元中使用的安全组

2. 要添加新的安全组，请单击“New Security Group”（新建安全组）图标

新建安全组新建安全组 - Web

1. 将这第一个组命名为“Web-tier”2. 单击“Select objects to include”（选择要包含的对象）部分

选择要包含的对象选择要包含的对象

1. 向下拉“Object Type”（对象类型）并选择“Virtual Machine”（虚拟机）2. 您可以通过在搜索窗口中输入“web”进行筛选3. 选择“web-01a”4. 单击向右箭头向右箭头将虚拟机推送到“Selected Objects”（所选对象）窗口5. 针对 web-02a 重复以上操作6. 单击“Finish”（完成）

注意：快捷方法是双击左侧的虚拟机，这样只需一个步骤就可将它们移动到右侧。

HOL-1803-02-NET


确认安全组的创建确认安全组的创建

您已创建一个分配有 2 个虚拟机的名为“Web-tier”（Web 层）的安全组。

创建创建 3 层访问规则层访问规则

下一步，您将添加新的规则以允许访问 Web 虚拟机，然后在各层间设置访问权限。

1. 在左侧菜单中，选择“Firewall”（防火墙）。

HOL-1803-02-NET


创建新的防火墙部分创建新的防火墙部分

1. 在“Flow Monitoring & Trace Flow Rules-Disabled by Default (Rule 1)”（流监控和跟踪流规则 - 默认情况下禁用 [规则 1]）行的最右端，单击与文件夹图标看起来相似的“AddSection”（添加部分）图标

为为 3 层应用添加新规则部分层应用添加新规则部分

1. 将该部分命名为“3-tier App”2. 选择“Add Above”（加在上面）3. 单击“Save”（保存）

为新部分添加规则为新部分添加规则

1. 在新的“3-Tier App”（3 层应用）部分对应的行上，单击“Add rule”（添加规则）绿色加号图标。

HOL-1803-02-NET


编辑新规则的名称编辑新规则的名称

1. 单击向下箭头向下箭头以打开规则2. 将鼠标悬停在“Name”（名称）字段的右上角，直到出现铅笔图标铅笔图标，然后单击该铅笔图标铅笔图标

编辑新规则的名称编辑新规则的名称（续续）

1. 输入“Ext to Web”作为名称2. 单击“Save”（保存）

HOL-1803-02-NET


设置规则的源和目标设置规则的源和目标

Source（源源）：将规则源设置保留为将规则源设置保留为“any”（任意任意）。

1. 将鼠标指针悬停在“Destination”（目标）字段上，然后选择“Destination”（目标）铅笔符号。

设置安全组值设置安全组值

目标目标：

1. 向下拉“Object Type”（对象类型）并向下滚动直至找到“Security Group”（安全组）2. 单击“Web-tier”（Web 层）3. 单击上面的箭头单击上面的箭头将对象移动到右侧4. 单击“OK”（确定）

HOL-1803-02-NET


编辑服务编辑服务

1. 再次将鼠标光标悬停在“Service”（服务）字段上并单击铅笔符号铅笔符号。

设置规则服务设置规则服务

在搜索字段中，您可以搜索服务模式匹配项。

1. 输入“https”并按 Enter 键键以查看与 https 名称相关的所有服务2. 选择简单的“HTTPS”服务3. 单击位于最上方的箭头单击位于最上方的箭头4. 注意注意：重复上面的步骤重复上面的步骤 1-3，找到并添加找到并添加 SSH。（您稍后会在单元中看到我们需要 SSH。）5. 单击单击“OK”（确定确定）

注意注意：这将导致出现一个绿色栏绿色栏，其中包含发布变更或还原变更的选项。

暂且不要发布暂且不要发布，因为还有更多规则要创建。

HOL-1803-02-NET


创建规则以允许创建规则以允许 Web 安全组访问应用逻辑交换机安全组访问应用逻辑交换机

现在，您将添加第二条规则，以允许 Web 安全组通过应用端口访问应用安全组。

1. 首先打开第 1 第规则旁的铅笔符号铅笔符号2. 您希望在上一条规则之后处理这条规则，因此从下拉框中选择“Add Below”（加在下面）

创建第二条规则的名称和源字段创建第二条规则的名称和源字段

HOL-1803-02-NET


1. 按照之前的操作，将鼠标光标悬停在“Name”（名称）字段上并单击出现的铅笔铅笔。输入“Webto App”作为名称

2. 在在“Source”（源源）字段中选择字段中选择“Web-tier”（Web 层层）安全组安全组

创建第二条规则的目标字段创建第二条规则的目标字段

1. 将鼠标光标悬停在将鼠标光标悬停在“Destination”（目标）字段上2. 单击铅笔图标单击铅笔图标进行编辑。

HOL-1803-02-NET


创建第二条规则的目标字段创建第二条规则的目标字段：选择逻辑网络选择逻辑网络

在第一条规则中，您使用“Web-tier”（Web 层）安全组作为目标。您可以采用相同方式处理其余规则。但是，正如您从下拉列表中看到的，您可以使用多个已定义的 vCenter 对象。vSphere 与 NSX安全性集成能够大幅节省时间，其表现之一就是您可以对规则使用现有虚拟数据中心对象，而不必从头开始创建规则。这里您将使用一个 VXLAN 逻辑交换机作为目标。这将允许您创建一条规则以应用于连接到该网络的任何虚拟机。

1. 在“Object Type”（对象类型）下拉菜单中向下滚动，并单击“Logical Switch”（逻辑交换机）选项

2. 选择“App_Tier-Logical_Switch”3. 单击位于最上方的箭头单击位于最上方的箭头将对象移到右侧4. 单击单击“OK”（确定确定）

HOL-1803-02-NET


创建第二条规则的服务字段创建第二条规则的服务字段

1. 将鼠标光标悬停在将鼠标光标悬停在“Service”（服务）字段上并单击铅笔图标单击铅笔图标进行编辑。

HOL-1803-02-NET


创建第二条规则服务字段创建第二条规则服务字段：新建服务新建服务

该 3 层应用在 Web 层和应用层之间使用 TCP 端口 8443。您将创建一项名为 MyApp 的新服务作为经过允许的服务。

1. 单击单击“New Service”（新建服务新建服务）2. 输入“MyApp”作为新服务的名称3. 为“Protocol”（协议）选择选择“TCP”4. 输入“8443”作为端口号5. 单击单击“OK”（确定确定）

HOL-1803-02-NET


单击单击“OK”（确定确定）

• 单击“OK”（确定）

创建第三条规则创建第三条规则：允许逻辑交换机应用访问逻辑交换机数据库允许逻辑交换机应用访问逻辑交换机数据库

HOL-1803-02-NET


重复以下步骤：在最后一条规则下自行创建第三条也是最后一条规则，用于允许在应用层逻辑交换机和数据库层逻辑交换机之间进行访问。

1. 创建最后一条规则创建最后一条规则，以允许应用逻辑交换机以允许应用逻辑交换机通过通过 HTTP 服务与数据库逻辑交换机通信服务与数据库逻辑交换机通信。

新规则应与示例中列出的规则相似。

2. 发布变更发布变更

确认新规则允许确认新规则允许 3 层应用通信层应用通信

1. 返回您先前用于返回您先前用于“Web App”（Web 应用应用）的选项卡的选项卡。2. 刷新浏览器刷新浏览器以显示您正在通过 3 层应用获取数据。

新的“3 层应用”部分允许访问应用。

HOL-1803-02-NET


重启与重启与 web-01a 的的 PuTTY 会话会话

1. 单击左上角的会话图标会话图标2. 单击“Restart Session”（重启会话）。

在层之间执行在层之间执行 ping 测试测试

尝试对 3 层应用客户虚拟机执行 ping 操作。

HOL-1803-02-NET


注意注意：请记得使用拖放功能请记得使用拖放功能。

web-02a

ping -c 2 172.16.10.12

app-01a

ping -c 2 172.16.20.11

db-01a

ping -c 2 172.16.30.11

Ping 操作不被允许，并将失败，因为在您的规则中，各层之间或层成员之间不支持 ICMP。各层之间不支持 ICMP，则现在默认规则会阻止其他所有流量。

• 最小化与 web-01a 的 PuTTY 会话。

为该为该 3 层应用添加分布式防火墙后的拓扑层应用添加分布式防火墙后的拓扑

此图显示虚拟网卡级别防火墙的相关实施点。尽管 DFW 是 vSphere ESXi 主机的内核可加载模块(KLM)，但规则是在客户虚拟机的虚拟网卡上实施的。此保护功能在 vMotion 迁移期间随虚拟机移动，以提供完整的全程保护，不允许出现虚拟机易受攻击的机会。

HOL-1803-02-NET


单元清理单元清理

您需要将“Default Rule”（默认规则）重新设置为“Allow”（允许）才能继续学习下一单元。

1. 将将“Default Rule”（默认规则默认规则）的的“Action”（操作操作）重新改为重新改为“Allow”（允许允许）。2. 发布变更发布变更。

HOL-1803-02-NET


改进了针对虚拟机和改进了针对虚拟机和 SpoofGuard 的的 IP 发现机发现机制制

在与 vCenter Server 同步后，NSX Manager 将收集所有 vCenter 客户虚拟机的 IP 地址。如果某个虚拟机受到威胁，则其 IP 地址可能受到欺骗，从而使恶意传输内容能够绕过防火墙策略。

您可以为特定网络创建 SpoofGuard 策略，这使您能够为已报告的 IP 地址授权，并根据需要对这些地址进行修改以防止欺骗。SpoofGuard 在本质上将信任通过 VMX 文件和 vSphere SDK 收集到的虚拟机 MAC 地址。由于操作与防火墙规则分开，因此您可以使用 SpoofGuard 来阻止已确定受到欺骗的流量。

SpoofGuard 同时支持 IPv4 和 IPv6 地址。在使用 IPv4 时，SpoofGuard 策略支持分配给虚拟网卡的单个 IP 地址。IPv6 支持分配给虚拟网卡的多个 IP 地址。SpoofGuard 策略可以通过以下模式之一监控和管理您的虚拟机所报告的 IP 地址：

• 在首次使用在首次使用 IP 分配时自动信任它们分配时自动信任它们

此模式允许来自您的虚拟机的所有流量通过，同时构建虚拟网卡到 IP 地址分配表。我们可以在方便时审查此表，并进行 IP 地址变更。此模式将自动批准虚拟网卡上的所有 ipv4 和 ipv6 地址。

• 在使用之前手动检查并批准所有在使用之前手动检查并批准所有 IP 分配分配

此模式将阻止所有流量，直到批准每个虚拟网卡到 IP 地址分配为止。

请注意请注意：无论启用哪种模式无论启用哪种模式，SpoofGuard 在本质上都允许在本质上都允许 DHCP 请求请求。不过不过，如果处于手动检如果处于手动检查模式查模式，则流量不会通过则流量不会通过，直到批准直到批准 DHCP 分配的分配的 IP 地址为止地址为止。

SpoofGuard 包括一项由系统生成的默认策略，它应用于未被其他 SpoofGuard 策略涵盖的端口组和逻辑网络。新添加的网络将被自动添加到默认策略，直到管理员将该网络添加到现有策略或者为其创建新策略为止。

NSX 分布式防火墙操作需要发现被指定为源或目标的对象的 IP 地址。在 NSX 6.2 之前，这项任务通过虚拟机内部的 VMtools 来完成。本练习将向您演示如何利用 VMtools 和首次使用时信任机制发现IP 地址。

HOL-1803-02-NET


检查检查 SpoofGuard 设置设置

单击 vSphere Web Client 对应的浏览器选项卡

1. 单击“Home”（主页）图标2. 单击“Networking & Security”（网络连接和安全性）

了解了解 SpoofGuard

1. 在导航器中单击“SpoofGuard”

HOL-1803-02-NET


启用通过启用通过 ARP 侦听发现侦听发现 IP 地址地址

1. 单击“Change”（更改）

将将 IP 检测类型改为检测类型改为“ARP Snooping”（ARP 欺骗欺骗）

现在，我们将启用通过“ARP 欺骗”发现 IP 地址

1. 选中“ARP Snooping”（ARP 欺骗）2. 单击“OK”（确定）

HOL-1803-02-NET


编辑默认编辑默认 SpoofGuard 策略策略

1. 单击“Default Policy”（默认策略）2. 单击铅笔图标进行编辑铅笔图标进行编辑

HOL-1803-02-NET


启用启用 SpoofGuard

1. 单击与“Enable”（已启用）对应的单选按钮单选按钮2. 单击“Finish”（完成）

将将 Linux-01a 从从 vDS 迁移到新的逻辑交换机迁移到新的逻辑交换机

首先，我们必须将虚拟机 linux-01a 从其现有的 vDS 迁移到一个逻辑交换机，然后才能利用SpoofGuard IP 发现功能。

HOL-1803-02-NET


导航至逻辑交换机导航至逻辑交换机

1. 单击“Logical Switches”（逻辑交换机）部分2. 单击绿色加号图标绿色加号图标以创建新的逻辑交换机

HOL-1803-02-NET


为新的逻辑交换机命名为新的逻辑交换机命名

1. 将此逻辑交换机命名为“Linux_Logical_Switch”2. 单击“OK”（确定）继续。

向逻辑交换机添加虚拟机向逻辑交换机添加虚拟机

1. 为了添加虚拟机，我们将右键单击“Linux_Logical_Switch”

HOL-1803-02-NET


2. 选择“Add VM”（添加虚拟机）选项

选择要迁移的虚拟机选择要迁移的虚拟机

1. 在筛选器中输入“linux”2. 选择虚拟机“linux-01a”3. 单击蓝色箭头蓝色箭头将虚拟机 linux-01a 添加到“Selected Objects”（所选对象）列表中4. 单击“Next”（下一步）

选择要迁移到新逻辑交换机的虚拟网卡选择要迁移到新逻辑交换机的虚拟网卡

1. 选中选中虚拟网卡“linux-01a”对应的框，以迁移到逻辑交换机2. 单击“Next”（下一步）

HOL-1803-02-NET


完成虚拟机到合并式逻辑交换机的迁移完成虚拟机到合并式逻辑交换机的迁移

1. 单击“Finish”（完成），完成虚拟机 linux-01a 到新的 Linux_Logical_Switch 的迁移。

访问逻辑交换机访问逻辑交换机

1. 双击双击新的“Linux_Logical_Switch”，查看相关的虚拟机。

HOL-1803-02-NET


查看相关的虚拟机查看相关的虚拟机

1. 单击“Virtual Machines”（虚拟机）部分2. 确认已列出虚拟机“linux-01a”

打开虚拟机打开虚拟机 linux-01a 的控制台的控制台

1. 选择虚拟机“linux-01a”2. 单击齿轮图标3. 选择“Launch Remote Console”（启动远程控制台）

输入输入 linux-01a 的用户名和密码的用户名和密码

请记住，您可以使用“单击并拖动”功能将 CLI 命令复制到活动窗口中

1. 在出现登录名提示时，输入“root”2. 在出现密码提示时，输入“VMware1!”

验证验证 IP 配置配置

1. 在命令行输入“ifconfig”

HOL-1803-02-NET


ifconfig

注意：虚拟机 linux-01a 的 IP 地址是 192.168.120.115。

测试网络连接测试网络连接

1. 输入“ping -c 2 192.168.120.1”，以向假定的默认网关发起 ping 测试

ping -c 2 192.168.120.1

注意注意：此步骤中的此步骤中的 ping 测试将失败测试将失败，因为我们尚未将因为我们尚未将 Linux_Logical_Switch 连接到连接到 NSXEdge 以提供路由以提供路由。我们只是想从虚拟机发起流量我们只是想从虚拟机发起流量，以便以便 SpoofGuard 识别此虚拟机识别此虚拟机。

退出远程控制台退出远程控制台

1. 按 Control+Alt 组合键，将光标移出远程控制台窗口2. 单击“vSphere Web Client”浏览器选项卡，返回该选项卡

HOL-1803-02-NET


导航回导航回“Networking & Security”（网络连接和安全性网络连接和安全性）

1. 在“Navigator”（导航器）下，单击历史记录区域的“Back”（返回）按钮，直到回到 NSX 配置界面。

验证是否通过验证是否通过 ARP 侦听发现了侦听发现了 Linux-01a

1. 从“Navigator”（导航器）菜单中选择“SpoofGuard”2. 单击“Default Policy”（默认策略）3. 在“View”（视图）下拉菜单中选择“Active Virtual NICs”（活动的虚拟网卡）4. 输入“lin”然后按 Enter 键，以筛选出 linux-01a

请注意，“Source”（源）字段将为地址 192.168.120.115 指示“TOFUARP”，即首次使用时信任ARP。

HOL-1803-02-NET


批准批准 Linux-01a 的新的新 IP 地址地址

• 单击“Approve”（批准）

注意：我们可能需要滚动至右侧才能看到“Approve”（批准）操作

发布发布 IP 批准批准

• 单击单击“Publish Changes”（发布变更发布变更）

查看自上次发布后的活动虚拟网卡查看自上次发布后的活动虚拟网卡

1. 从下拉菜单中选择“Active Virtual NICs Since Last Published”（自上次发布后的活动虚拟网卡）

注意：linux-01a 不再列出，因为我们已经批准了该虚拟机使用 IP 地址，并且自批准以来该虚拟机没有活动。

SpoofGuard 总结总结

“改进了针对虚拟机和 SpoofGuard 的 IP 发现机制”部分到此结束。我们已成功将虚拟机迁移到了NSX 环境，并利用 SpoofGuard 通过首次使用时信任 ARP 新功能了解了该虚拟机的 IP 地址。

HOL-1803-02-NET


安全组概述安全组概述

现在，我们详细介绍下“分布式防火墙 - 微分段概述”中介绍的安全组功能。NSX 安全组可用来对您想要保护的资产进行逻辑分组和定义。安全组可以是静态的（包括具体的虚拟机），也可以是动态的，其成员可能通过以下一种或多种方式定义：

• vCenter 容器（集群、端口组或数据中心）• 安全标记、IPset、MACset，甚至其他安全组。例如，您可以加入一个条件，将标记有特定安全标记（例如 AntiVirus.virusFound）的所有成员添加到安全组中

• Directory 组（如果 NSX Manager 注册了 Active Directory）• 正则表达式，例如名为“VM1”的虚拟机

注意，安全组成员会不断变化。例如，标记有 AntiVirus.virusFound 标记的虚拟机将被移到隔离安全组。当病毒清除且该标记从虚拟机移除后，该虚拟机将再次移出隔离安全组。

访问访问 Service Composer

1. 单击左侧面板上的“Service Composer”。

HOL-1803-02-NET


创建创建 Web 安全组安全组

1. 在“Services Composer”中单击“Security Groups”（安全组）选项卡。2. 单击“New Security Group”（新建安全组）图标。3. 在“Name”（名称）对话框中输入“Web Security Group”。4. 单击“Next”（下一步）。

HOL-1803-02-NET


了解对象列表了解对象列表

1. 打开打开“Object”（对象对象）下拉框下拉框。

您将看到，您可以使用“Computer OS Name”（计算机操作系统名称）、“Computer Name”（计算机名称）、“VM Name”（虚拟机名称）、“Security Tag”（安全标记）或“Entity”（实体）。如果使用“Entity”（实体），您将能从 vCenter 的大量元素中进行挑选，包括资源池、Directory 域组、逻辑交换机、分布式端口组等。

HOL-1803-02-NET


了解对象成员条件列表了解对象成员条件列表

条件选项将因选择的对象类型而异。

HOL-1803-02-NET


定义动态成员定义动态成员

1. 从第一个“Criteria Details”（条件详情）下拉列表中选择“VM Name”（虚拟机名称）。2. 确认页面中间的下拉列表中选择的是“Contains”（包含）。3. 在对话框中输入“web”。4. 单击“Finish”（完成）。

HOL-1803-02-NET


查看成员查看成员

1. 单击与新的“Web Security Group”（Web 安全组）相关的“Virtual Machine”（虚拟机）列中的数字数字。

注意：“Web Security Group”（Web 安全组）的“Virtual Machine”（虚拟机）列中的数字应为6，包括名称中含有“WEB”的所有虚拟机，不考虑是否大写或使用 IP 网络。

2. 单击对话框右上角的“X”以将其关闭。

HOL-1803-02-NET


安全策略概述安全策略概述

NSX 安全策略可以是以下服务配置的集合：防火墙规则、端点服务和网络自检服务。防火墙规则可包括用于定义允许流入或流出安全组或在安全组内移动的流量的规则。端点服务可以通过第三方解决方案提供商服务实施，例如防病毒或漏洞管理服务。网络自检服务是指用于监控网络的服务，如 IPS。

在 NSX 中实施服务期间，第三方供应商可为实施的服务选择服务类别。我们会针对每个供应商模板创建默认的服务配置文件。

注意注意：当您需要将同一安全策略挂接到多个安全组时，请创建包含所有这些子安全组的总安全组，并对其应用通用的安全策略。这样可以确保 NSX 分布式防火墙高效利用 ESXi 主机内存。

创建新的安全策略创建新的安全策略

1. 在“Service Composer”面板中选择“Security Policies”（安全策略）选项卡2. 单击“Create Security Policy”（创建安全策略）图标3. 在“Name”（名称）字段中输入“Block Web-to-Web Traffic”4. 在左侧面板中单击“Firewall Rules”（防火墙规则）

HOL-1803-02-NET


创建新的防火墙规则创建新的防火墙规则

1. 单击绿色加号图标绿色加号图标以添加一个新的防火墙规则2. 在“Name”（名称）字段中输入“Block Web-to-Web Traffic”3. 从“Action”（操作）列表中选择“Block”（阻止）4. 单击“Destination: Any”（目标: 任意）右侧的“Change...”（更改...）

HOL-1803-02-NET


防火墙规则防火墙规则 - 选择目标选择目标

1. 选择选项列表顶部的“Policy's Security Groups”（策略所在的安全组）2. 单击“OK”（确定）

注意注意：我们将把该安全策略应用到策略所在的安全组我们将把该安全策略应用到策略所在的安全组，该安全组现已被定义为我们防火墙规则的源和该安全组现已被定义为我们防火墙规则的源和目标目标。

单击单击“OK”（确定确定）

HOL-1803-02-NET


1. 单击“OK”（确定）

完成安全策略的定义完成安全策略的定义

1. 单击“Finish”（完成）

将安全策略应用到安全组将安全策略应用到安全组

1. 突出显示“Block Web-to-Web Traffic”（阻止 Web 至 Web 流量）安全策略2. 单击“Apply Security Policy”（应用安全策略）图标3. 选择“Web Security Group”（Web 安全组）4. 单击“OK”（确定）

HOL-1803-02-NET


确认安全策略的应用情况确认安全策略的应用情况

1. 确认“Status”（状态）列已更改为“Published”（已发布）2. 确认“Applied to”（应用至）列中显示“1”3. 确认“Firewall Rules”（防火墙规则）列中显示“1”

该信息将确认我们的规则已与 NSX 中的防火墙规则成功同步，并已正确应用到安全组。

确认防火墙规则的同步情况确认防火墙规则的同步情况

1. 单击单击“Firewall”（防火墙防火墙）

HOL-1803-02-NET


查看查看 Service Composer 防火墙规则防火墙规则

1. 展开防火墙部分展开防火墙部分“Block Web-to-Web Traffic”（阻止阻止 Web 至至 Web 流量流量），确认规则确认规则已创建已创建

使用使用 PuTTY 测试测试 Web 虚拟机之间的连接虚拟机之间的连接

接下来，我们将测试构成 3 层应用的 Web 虚拟机之间的通信和访问。第一项测试是，打开web-01a 的控制台并对 web-02a 执行 ping 操作。

1. 在桌面任务栏上在桌面任务栏上，单击单击“PuTTY”快捷方式快捷方式2. 选择“web-01a.corp.local”

HOL-1803-02-NET


3. 单击“Open”（打开）

从从 web-01a 向向 web-02a 执行执行 Ping 操作操作

我们将输入以下代码以证明 web-01a 不能对 web-02a 执行 ping 操作。

1. 对 web-02a 执行 ping 操作。

ping -c 2 web-02a

根据安全策略，Web 虚拟机之间的 ping 操作将会失败。

HOL-1803-02-NET


查看查看 Service Composer 画布画布Service Composer 提供了一个画布视图，用以显示选定 NSX Manager 中的所有安全组。该视图还会显示一些详细信息，例如每个安全组的成员以及应用于该安全组的安全策略。

本主题将通过讲解一个部分配置的系统来介绍 Service Composer，以便您能通过画布视图概要地直观了解安全组和安全策略对象之间的对应关系。

Service Composer 画布的图形视图画布的图形视图

1. 单击“Service Composer”2. 单击“Canvas”（画布）

将显示所选 NSX Manager 中的所有安全组（不包含在另一个安全组中）以及应用于这些安全组的策略。“NSX Manager”下拉列表会列出当前登录的用户在其上分配有角色的所有 NSX Manager。

画布中的每个矩形框都代表着一个安全组，框中的图标则表示安全组成员以及有关该安全组对应的安全策略的详情。

HOL-1803-02-NET


已应用的安全策略已应用的安全策略

每个图标旁边的数字表示实例数量 - 例如，“Security Policy”（安全策略）图标旁边的数字 1 表示有一个策略与该安全组安全组对应

嵌套的安全组嵌套的安全组

“Security Groups”（安全组）图标嵌套在主安全组中。您的安全组中没有嵌套的组。

HOL-1803-02-NET


有效的虚拟机成员有效的虚拟机成员

1. 单击画布左下角的“Virtual Machine”（虚拟机）图标。2. 关闭窗口关闭窗口。

窗口中显示的是目前属于主安全组和嵌套安全组的虚拟机。如果我们的任何虚拟机出现服务错误，我们可以单击“Errors”（错误）选项卡，查看这些虚拟机。

与安全组对应的有效安全策略与安全组对应的有效安全策略

1. 单击画布右上角的“Security Policy”（安全策略）图标。

可选操作：

• 您可以通过单击“Create Security Policy”（创建安全策略）图标创建新的安全策略。新创建的安全策略对象将自动与安全组对应。

• 单击“Apply Security Policy”（应用安全策略）图标，使更多安全策略与安全组对应。

2. 关闭窗口关闭窗口。

HOL-1803-02-NET


有效的客户机自检服务有效的客户机自检服务

1. 单击“Guest Introspection Services”（客户机自检服务）图标，显示与安全组对应的安全策略关联的服务。

假设您的安全组应用了两个策略，而且它们都配置了相同的类别端点服务。在这种情况下，有效服务数将为 1（因为第二个优先级较低的服务会被覆盖）。

注意：客户机自检服务故障（如果有）将显示在“Errors”（错误）选项卡中。单击“Errors”（错误）图标可显示问题。


有效的防火墙规则有效的防火墙规则

1. 单击“Firewall rules”（防火墙规则）图标，显示与安全组对应的安全策略关联的防火墙规则。


HOL-1803-02-NET


有效的网络自检服务有效的网络自检服务

1. 单击“Network Introspection Services”（网络自检服务）图标，显示与安全组对应的安全策略关联的服务。

注意：再次申明，网络自检服务故障（如果有）将显示在“Errors”（错误）选项卡中。单击“Errors”（错误）图标可显示问题。


搜索安全组搜索安全组

1. 在画布窗口右上角的搜索字段中输入“hr”，仅显示名称中带“hr”的安全组。

HOL-1803-02-NET


查看安全组层次结构查看安全组层次结构

1. 单击窗口左上角的“Top Level”（顶层）图标2. 单击“Internal Services”（内部服务）

我们将能看到安全组层次结构，以及安全组是否包含嵌套的安全组

查看父安全组服务查看父安全组服务

顶栏将显示父安全组的名称，栏中的图标将显示适用于该父安全组的安全策略、端点服务、防火墙服务和网络自检服务的总数量。

1. 我们可以通过单击窗口左上方蓝色的上一级箭头图标上一级箭头图标导航回顶层。

HOL-1803-02-NET


流畅地放大和缩小画布视图流畅地放大和缩小画布视图

您可以通过移动窗口右上角的缩放滑块来流畅地放大和缩小画布视图。导航器框将显示整个画布的缩小视图。如果画布比屏幕适用尺寸大很多，系统将在实际显示的区域周围显示一个框，您可以移动该框以更改显示的画布部分。

HOL-1803-02-NET


第第 1 单元单元 - 结束语结束语

关于 Service Composer 和分布式防火墙的第 1 单元到此结束。我们已经创建了静态和动态安全组、应用了静态和动态安全策略（包括防火墙规则），还使用 SpoofGuard 发现了未运行 VMTools的虚拟机并允许其访问网络。

第第 1 单元清理单元清理

在完成第 1 单元前，您需要删除这一部分所创建的规则。

1. 导航回“Service Composer”2. 选择“Security Policies”（安全策略）选项卡3. 右键单击“Block Web-to-Web Traffic”（阻止 Web 至 Web 流量）行4. 选择“Delete”（删除）选项。当系统提示“Remove security policy?”（是否删除安全策略?）时，单击“Yes”（是）

您已完成第您已完成第 1 单元的学习单元的学习

祝贺您！您已经完成了第 1 单元的学习。

如果您想了解有关 NSX 路由功能和配置的其他信息，请通过以下 URL 查看 NSX 6.3 文档中心：

• 转至 https://tinyurl.com/zwch3gh

继续学习以下您最感兴趣的任意一个单元：

练习单元列表练习单元列表：





• 第第 5 单元单元 - Application Rule Manager（45 分钟）- 基础 - 本单元将介绍应用微分段。


HOL-1803-02-NET


https://tinyurl.com/zwch3gh

• 第第 1 单元单元 - 美国高级系统工程师美国高级系统工程师 Chris Cousins。• 第第 2 单元单元 - 美国高级系统工程师美国高级系统工程师 Chris Cousins。• 第第 3 单元单元 - 美国高级系统工程师美国高级系统工程师 Chris Cousins。• 第第 4 单元单元 - 美国高级系统工程师美国高级系统工程师 Chris Cousins。

如何结束练习如何结束练习

要结束练习，请单击“END”（结束）按钮。

HOL-1803-02-NET


第第 2 单元单元 - 合并合并 3 层应用功能层应用功能讲解示范讲解示范（15 分钟分钟）

HOL-1803-02-NET


使用使用 NSX 的分布式防火墙功能保护合并的体系结的分布式防火墙功能保护合并的体系结构构

在本单元，您将了解 NSX 中的分布式防火墙 (DFW) 功能如何使客户将传统的多层网络体系结构合并到单个扁平网络中，同时保持应用隔离。这对摒弃以网络为中心的安全方法并采用以工作负载为中心的方法至关重要。您将使用位于同一个逻辑交换机和子网中的两个不同的应用（HR 和财务）。

然后，您将配置并测试以下内容：

• 在隔离之前，测试同一网络上 HR 和财务应用虚拟机之间的通信情况• 使用安全组创建虚拟机的逻辑分组• 创建分布式防火墙规则，以保护应用之间的通信• 确认每个应用仍能正常运行，以及 HR 和财务应用虚拟机之间的通信已被阻止• 在进行下一个练习之前清理练习中使用的安全策略

完成本练习单元后，您就已经证实 NSX DFW 保护了应用并将其彼此隔离，同时允许应用内通信在同一网络基础架构上正常进行。

查看示例网络体系结构查看示例网络体系结构

在将 3 层应用网络合并到单个网络中之前，我们来看一个 3 层应用示例，该应用被分割成单独的子网，以便在 Web、应用和数据库层之间实现第 3 层隔离。务必注意，我们缺少安全防火墙规则，无法保护驻留在同一第 2 层域上的虚拟机之间甚至应用层之间的通信。当组织开始横向扩展大量多层工作负载时，可以选择部署更多子网或在同一第 2 层域上部署应用组件（例如不同应用中的数据库）。

例如，组织可能有多个应用的数据库组件驻留在“DB-Tier”（数据库层）网络上。传统防火墙无法保护这些数据库之间的通信。这可能会使已获批访问某个数据库虚拟机的某个人能够访问同一网络上的其他数据库。借助 NSX 的 DFW，组织能将整个网络结构合并到单个第 2 层网段中，并提供应用内功能及应用间应用隔离。

HOL-1803-02-NET


查看合并的网络拓扑查看合并的网络拓扑

为节省时间，我们已经创建了名为 Collapsed_Logical_Switch 且子网为 172.16.60.0/24 的逻辑交换机。我们已将两个多层应用（HR 与财务）迁移到该子网中。此网络目前未实施任何安全策略。

一旦确认与 HR 和财务应用相关的虚拟机间存在通信，您就需要创建安全组，以在逻辑上应用防火墙规则，进而保护和控制它们之间的通信。

访问访问 vSphere Web Client

1. 在主控制台窗口中单击“Google Chrome”快捷方式。

HOL-1803-02-NET






访问访问“Networking & Security”（网络连接和安全性网络连接和安全性）UI

1. 单击“Networking & Security”（网络连接和安全性）。

HOL-1803-02-NET


导航至逻辑交换机导航至逻辑交换机

1. 单击左侧菜单中的“Logical Switches”（逻辑交换机）。2. 双击“Collapsed_Logical_Switch”（网段网段 ID - 5004）。

查看已连接的虚拟机查看已连接的虚拟机

1. 单击“Virtual Machines”（虚拟机）选项。

您应该能看到 HR 和财务应用中的虚拟机：fin-db-01a.corp.local、fin-app-01a.corp.local、fin-web-01a.corp.local、hr-web-01a.corp.local、hr-db-01a.corp.local 和 hr-app-01a.corp.local。

HOL-1803-02-NET


确认财务应用正在运行确认财务应用正在运行

1. 在 Chrome 中打开一个新选项卡新选项卡。2. 单击“Finance DB App”（财务数据库应用）书签。

确认您正在访问的是“Financial Department Cost Centers listings”（财务部成本中心列表）。您应该会收到来自 fin-web-01a 的数据。

HOL-1803-02-NET


验证验证 HR 应用应用

1. 在 Chrome 中打开一个新选项卡新选项卡。2. 单击“HR DB App”（HR 数据库应用）书签。

确认您正在访问的是“HR Employee Salary Database”（HR 员工工资数据库）。

HOL-1803-02-NET


启动虚拟机启动虚拟机 fin-web-01a 的远程控制台的远程控制台

1. 单击 vSphere Web Client 对应的选项卡。2. 单击“fin-web-01a.corp.local”。3. 单击“Summary”（摘要）选项卡。4. 依次单击齿轮图标齿轮图标和“Launch Remote Console”（启动远程控制台）。

登录虚拟机登录虚拟机 fin-web-01a

HOL-1803-02-NET


当 VMRC 窗口首次打开时，它将显示为黑色。在窗口内单击，按几次 Enter 键，就能使控制台从屏幕保护程序中显示出来。

1. 使用用户名“root”登录。2. 输入密码“VMware1!”。

在财务在财务 Web 虚拟机与各虚拟机与各 HR 应用虚拟机之间执行应用虚拟机之间执行 ping 测试测试

我们现在要测试 HR 和财务应用之间的通信，具体做法是输入以下命令，从 fin-web-01a 向 hr-web-01a 和 hr-db-01a 发送 ping：

1. ping -c 3 hr-web-01a

# ping -c 3 hr-web-01a

2. ping -c 3 hr-db-01a

# ping -c 3 hr-db-01a

我们已证实 HR 和财务应用虚拟机可以相互通信。这并不是理想的安全模式。例如，具有 HR 访问权限的用户现在可以更轻松地访问财务应用组件。

注意注意：要从远程控制台窗口中释放光标，请按 Ctrl+Alt 组合键。

返回返回 vSphere Web Client 会话会话

1. 单击任务栏上的“vSphere Web Client”浏览器图标

HOL-1803-02-NET


启动虚拟机启动虚拟机 hr-db-01a 的远程控制台的远程控制台

1. 单击“hr-db-01a.corp.local”2. 单击“Summary”（摘要）3. 依次单击齿轮图标齿轮图标和“Launch Remote Console”（启动远程控制台）

注意注意：要启动远程控制台启动远程控制台，我们必须在虚拟机的“Summary”（摘要）选项卡上进行操作，并且如果未默认选中“Summary”（摘要）选项卡，可能还需要单击它。

登录虚拟机登录虚拟机 hr-db-01a

当 VMRC 窗口首次打开时，它将显示为黑色。在窗口内单击，按几次 Enter 键，就能使控制台从屏幕保护程序中显示出来。

1. 使用用户名“root”登录2. 输入密码“VMware1!”

在在 HR 虚拟机与各财务应用虚拟机之间执行虚拟机与各财务应用虚拟机之间执行 ping 测试测试

我们现在要测试 HR 和财务应用之间的通信，具体做法是输入以下命令，从 hr-db-01a 向 fin-app-01a 和 fin-db-01a 发送 ping：

HOL-1803-02-NET


1. ping -c 3 fin-app-01a

# ping -c 3 fin-app-01a

2. ping -c 3 fin-db-01a

# ping -c 3 fin-db-01a

我们已证实 HR 和财务应用虚拟机可以相互通信。为在合并的应用层上启用应用隔离，接下来我们将配置分布式防火墙和安全组以阻止通信。


返回返回 vSphere Web Client

1. 单击任务栏上的“vSphere Web Client”浏览器图标。

HOL-1803-02-NET


返回返回“Networking & Security”（网络连接和安全性网络连接和安全性）

1. 单击“Back”（返回）按钮两次，返回至“Networking & Security”（网络连接和安全性）。

访问防火墙配置访问防火墙配置

1. 从左侧的“Navigator”（导航器）菜单中单击“Firewall”（防火墙）。

HOL-1803-02-NET


添加新部分添加新部分

1. 单击防火墙配置规则第一行中带绿色加号的文件夹带绿色加号的文件夹图标。

为新的防火墙部分命名为新的防火墙部分命名

1. 输入“Collapsed App Tier Rules”作为新部分的名称。2. 单击“Add Above”（添加到上面）按钮。3. 单击“Save”（保存）。

注意注意：暂且不要发布变更暂且不要发布变更。

创建新的防火墙规则创建新的防火墙规则

1. 单击新的“Collapsed App Tier Rules”（合并的应用层规则）部分标题右侧的绿色加号绿色加号图标，以添加新的防火墙规则。

HOL-1803-02-NET


打开新规则打开新规则

1. 单击小三角小三角以向下展开“Collapsed App Tier Rules”（合并的应用层规则）部分。2. 将鼠标悬停在“Name”（名称）框的右侧，然后单击铅笔铅笔图标以编辑新规则的名称。

将规则命名为将规则命名为“Block HR to Finance Traffic”

1. 在“Rule Name”（规则名称）字段中输入“Block HR to Finance Traffic”。2. 单击“Save”（保存）。

编辑源对象编辑源对象

1. 单击“Edit”（编辑）或铅笔铅笔图标以编辑源对象。

HOL-1803-02-NET


创建创建 HR 应用安全组应用安全组

1. 从“Object Type”（对象类型）下拉菜单中，选择“Security Group”（安全组）。2. 单击“New Security Group”（新建安全组）以定义 HR 应用安全组。

为为 HR 应用安全组命名应用安全组命名

1. 在该安全组的“Name”（名称）字段中输入“HR App”。2. 单击“Next”（下一步）。

HOL-1803-02-NET



1. 从“Criteria Details”（条件详情）下拉菜单中选择“VM Name”（虚拟机名称）。2. 在文本字段中输入“hr”，以设定虚拟机名称的条件。3. 单击“Finish”（完成）。

注意注意：我们将“Criteria Details”（条件详情）中间的下拉菜单保留为“Contains”（包含），以指定包含字母“hr”的虚拟机名称虚拟机名称，从而找出练习环境中所有的 HR 虚拟机。

确认已选择确认已选择“HR App”（HR 应用应用）

1. 确认已将新的“HR App”（HR 应用）安全组添加到“Selected Objects”（所选对象）。2. 单击“OK”（确定）。

编辑目标对象编辑目标对象

HOL-1803-02-NET


1. 单击“Edit”（编辑）或铅笔铅笔图标以编辑目标对象

创建财务应用安全组创建财务应用安全组

1. 从“Object Type”（对象类型）下拉菜单中，选择“Security Group”（安全组）。2. 单击“New Security Group”（新建安全组）以定义财务应用安全组。

HOL-1803-02-NET


为财务应用安全组命名为财务应用安全组命名

1. 在该安全组的“Name”（名称）字段中输入“Finance App”。2. 单击“Next”（下一步）。

HOL-1803-02-NET



1. 从“Criteria Details”（条件详情）下拉菜单中选择“VM Name”（虚拟机名称）。2. 在文本字段中输入“fin”，以设定虚拟机名称的条件。3. 单击“Finish”（完成）。

注意注意：我们将“Criteria Details”（条件详情）中间的下拉菜单保留为“Contains”（包含），以指定包含字母“fin”的虚拟机名称虚拟机名称，从而找出练习环境中所有的财务虚拟机。

HOL-1803-02-NET


确认已选择确认已选择“Finance App”（财务应用财务应用）

1. 确认已将新的“Finance App”（财务应用）安全组添加到“Selected Objects”（所选对象）。

2. 单击“OK”（确定）。

HOL-1803-02-NET


确认确认 HR 应用的虚拟机成员应用的虚拟机成员

1. 单击防火墙规则的“Source”（源）字段中的“HR App”（HR 应用）名称，以显示该安全组的虚拟机成员。

确认您看到名称中带有“hr”的所有虚拟机都已列出，如图所示。

2. 单击窗口右上角的“X”将其关闭。

确认财务应用的虚拟机成员确认财务应用的虚拟机成员

HOL-1803-02-NET


1. 单击防火墙规则的“Destination”（目标）字段中的“Finance App”（财务应用）名称，以显示该安全组的虚拟机成员。

确认您看到名称中带有“fin”的所有虚拟机都已列出，如图所示。

2. 单击窗口右上角的“X”将其关闭。

编辑操作设置编辑操作设置

1. 将鼠标悬停在防火墙规则的“Action”（操作）单元格右侧，然后单击铅笔铅笔图标以编辑操作。

HOL-1803-02-NET


选择阻止操作选择阻止操作

1. 从“Action”（操作）下拉菜单中，选择“Block”（阻止）。2. 单击“Save”（保存）。

添加新的防火墙规则添加新的防火墙规则

1. 单击“Collapsed App Tier Rules”（合并的应用层规则）部分的绿色加号绿色加号图标，以添加新的规则。

HOL-1803-02-NET


编辑规则名称编辑规则名称

1. 将鼠标悬停在“Name”（名称）框的右侧，然后单击铅笔铅笔图标以编辑新规则的名称。

将规则命名为将规则命名为“Block Finance to HR Traffic”

1. 在“Rule Name”（规则名称）字段中输入“Block Finance to HR Traffic”。2. 单击“Save”（保存）。

编辑源对象编辑源对象

1. 单击“Edit”（编辑）或铅笔铅笔图标以编辑源对象。

选择财务应用安全组选择财务应用安全组

HOL-1803-02-NET


1. 从“Object Type”（对象类型）下拉菜单中，选择“Security Group”（安全组）。2. 选择“Finance App”（财务应用）安全组。3. 单击蓝色箭头蓝色箭头图标将该对象移动到“Selected Objects”（所选对象）列表中。4. 单击“OK”（确定）。

编辑目标对象编辑目标对象

1. 单击铅笔铅笔图标以编辑目标对象。

选择选择 HR 应用安全组应用安全组

1. 从“Object Type”（对象类型）下拉菜单中，选择“Security Group”（安全组）。2. 选择“HR App”（HR 应用）安全组。3. 单击蓝色箭头蓝色箭头图标将该对象移动到“Selected Objects”（所选对象）列表中。4. 单击“OK”（确定）。

HOL-1803-02-NET


编辑操作设置编辑操作设置

1. 将鼠标悬停在防火墙规则的“Action”（操作）单元格右侧，然后单击铅笔铅笔图标以编辑操作。

选择阻止操作选择阻止操作

1. 从“Action”（操作）下拉菜单中，选择“Block”（阻止）。2. 单击“Save”（保存）。

发布变更发布变更

1. 单击“Publish Changes”（发布变更），以将新的防火墙规则部署到受影响的虚拟机和主机。

HOL-1803-02-NET


验证合并的应用层规则验证合并的应用层规则

1. 单击小三角小三角以向下展开“Collapsed App Tier Rules”（合并的应用层规则）部分。2. 在将规则发布到练习环境之前，新的防火墙规则没有“Rule ID”（规则 ID）。

注意：您的规则编号可能不尽相同，这具体取决于您学习练习单元的顺序。

确认财务应用正在运行确认财务应用正在运行

1. 单击单击“HOL- Finance Department”（HOL 财务部门财务部门）选项卡选项卡。2. 单击单击“Refresh”（刷新刷新）按钮按钮。

确认您正在访问的是“Financial Department Cost Centers listings”（财务部成本中心列表）。

HOL-1803-02-NET


返回以打开财务返回以打开财务 Web 虚拟机的远程控制台虚拟机的远程控制台

我们已经部署了新的防火墙规则，现在，我们将测试各虚拟机应用之间的通信。

1. 单击任务栏上的“fin-web-01a.corp.local”远程控制台会话。

在财务在财务 Web 虚拟机与各虚拟机与各 HR 应用虚拟机之间执行应用虚拟机之间执行 ping 测试测试

我们将先测试财务 Web 虚拟机和 HR 应用虚拟机之间的通信，具体做法是输入以下命令，从 fin-web-01a 向 hr-web-01a 和 hr-db-01a 发送 ping：

HOL-1803-02-NET




2. ping -c 3 hr-db-01a

# ping -c 3 hr-db-01a

“100% packet loss”（100% 丢包率）表示财务 Web 虚拟机无法与位于同一第 2 层网络上的 HR应用虚拟机进行通信。

在各财务应用虚拟机之间执行在各财务应用虚拟机之间执行 ping 测试测试

接下来，我们将验证各财务应用虚拟机之间的通信，具体做法是输入以下命令，从 fin-web-01a 向fin-app-01a 和 fin-db-01a 发送 ping：





“100% success rate”（100% 成功率）表示同一第 2 层网络上的所有财务虚拟机都可以相互通信。

HOL-1803-02-NET



验证验证 HR 应用应用

1. 单击单击“HOL-HR Department”（HOL-HR 部门部门）选项卡选项卡。2. 单击单击“Refresh”（刷新刷新）按钮按钮。

确认您正在访问的是“HR Employee Salary Database”（HR 员工工资数据库）。

HOL-1803-02-NET


返回返回 HR 数据库虚拟机的远程控制台数据库虚拟机的远程控制台

1. 单击任务栏上的“hr-db-01a.corp.local”远程控制台会话。

在在 HR 数据库虚拟机与各财务应用虚拟机之间执行数据库虚拟机与各财务应用虚拟机之间执行 ping 测试测试

现在，我们要测试 HR 数据虚拟机和财务应用虚拟机之间的通信，具体做法是输入以下命令，从 hr-db-01a 向 fin-app-01a 和 fin-db-01a 发送 ping：


HOL-1803-02-NET





注意注意：“100% packet loss”（100% 丢包率）表示 HR 数据库虚拟机无法与位于同一第 2 层网络上的各财务应用虚拟机进行通信。

在各在各 HR 应用虚拟机之间执行应用虚拟机之间执行 ping 测试测试

最后，我们将验证各 HR 应用虚拟机之间的通信，具体做法是输入以下命令，从 hr-db-01a 向 hr-web-01a 和 hr-app-01a 发送 ping：



2. ping -c 3 hr-app-01a

# ping -c 3 hr-app-01

您将能够在各应用层之间产生流量。

HOL-1803-02-NET


3. 关闭关闭 hr-db-01a 的控制台窗口的控制台窗口。注意注意：要从远程控制台窗口中释放光标，请按 Ctrl+Alt组合键。

我们通过分布式防火墙对应用隔离进行的验证到此结束。尽管 HR 应用和财务应用驻留在同一第 2 层逻辑交换机上，但我们已经阻止两者之间进行通信。

继续学习下一个练习单元之前的练习清理继续学习下一个练习单元之前的练习清理

在继续学习下一个练习单元之前，我们必须先清理防火墙规则。

1. 单击“vSphere Web Client”浏览器选项卡。

删除删除“Collapsed App Tier Rules”（合并的应用层规则合并的应用层规则）部分部分

1. 单击“Collapsed App Tier Rules”（合并的应用层规则）部分右侧的红色“X”，以删除整个部分。

确认删除规则部分确认删除规则部分

1. 单击“Yes”（是）继续删除该规则部分。


1. 单击“Publish Changes”（发布变更），以保存对防火墙规则做出的更改，并从应用虚拟机中删除防火墙规则。

HOL-1803-02-NET


第第 2 单元单元 - 结束语结束语

现在，我们完成了第 2 单元的学习，本单元以引导的方式为您讲解示范了如何通过 NSX 分布式防火墙 (DFW) 隔离单个扁平网络上的应用。在本单元中，我们还展示了将 3 层网络应用合并到单个 NSX逻辑交换机中为何不会影响 NSX 通过分布式防火墙提供零信任安全的方式。在本练习中，我们首先验证了位于同一网络上的 HR 和财务应用虚拟机之间的通信。然后，我们创建了防火墙规则并对虚拟机进行逻辑分组，以保护和阻止 HR 和财务应用之间的通信，并且还通过测试应用体系之间以及内部的虚拟机通信，对我们所创建的规则的实施情况进行了验证。在确认应用相互隔离之后，我们删除了防火墙规则，以准备学习本练习的其他单元。

希望您喜欢有关 NSX DFW 的应用隔离和零信任功能的学习。

您已完成第您已完成第 2 单元的学习单元的学习


如果您想了解有关 NSX 路由功能和配置的其他信息，请通过以下 URL 查看 NSX 6.3 文档中心：


继续学习以下您最感兴趣的任意一个单元：








• 第第 1 单元单元 - 美国高级系统工程师美国高级系统工程师 Chris Cousins。• 第第 2 单元单元 - 美国高级系统工程师美国高级系统工程师 Chris Cousins。• 第第 3 单元单元 - 美国高级系统工程师美国高级系统工程师 Chris Cousins。• 第第 4 单元单元 - 美国高级系统工程师美国高级系统工程师 Chris Cousins。• 第第 5 单元单元 - 美国高级系统工程师美国高级系统工程师 Chris Cousins。

HOL-1803-02-NET





HOL-1803-02-NET


第第 3 单元单元 - 智能分组智能分组（30 分分钟钟）

HOL-1803-02-NET


智能分组智能分组

第 3 单元智能分组

简介简介

Windows XP、Windows 2000 Server 和 Windows Server 2003 等主要企业级平台终止支持终止支持(EOS) 对于要在日常业务中运行关键任务应用的组织来说是一项重大挑战。例如，2015 年 7 月，Microsoft 停止为 Windows 2003 提供支持，使得数百万的企业服务器面临险境。

除非充分准备好迁移到新平台或具有适当的补偿性控制措施，否则使用 EOS 操作系统的组织很可能会为其环境带来严重的安全风险。黑客们知道，Microsoft 等平台提供商将不再确认或修补漏洞，因此这些系统快速成为他们最喜欢的攻击目标。随着时间的推移，在 EOS 后运行不受支持的平台所面临的风险也将不断增加，因为越来越多的问题会被发现而得不到修补。

NSX 可通过分布式防火墙 (DFW) 和 Service Composer 增强安全性，从而帮助减轻 EOS 操作系统引发的问题。在本练习中，您将在模拟环境中使用 NSX 安全组来集结 Windows XP 虚拟机，并提供防火墙策略对它们进行保护。


• 为 Windows XP 虚拟机创建安全组。• 使用动态包含自动对 Windows XP 虚拟机进行分组。• 应用防火墙规则以保护 Windows XP 虚拟机。• 测试 Windows XP 虚拟机对外部网络的访问。


第第 3 单元单元 - 美国高级系统工程师美国高级系统工程师 Chris Cousins。

HOL-1803-02-NET


登录终止支持虚拟机登录终止支持虚拟机

我们将使用 Windows XP 虚拟机来确定当前对外部和内部资源的安全访问。





1. 单击图钉图钉图标可折叠任务窗格，从而为主窗格腾出更多显示空间。您也可以通过折叠左侧窗格来获得最大的空间。

HOL-1803-02-NET


登录登录 EOS 虚拟机虚拟机

1. 选择“Home”（主页）2. 选择“VMs and Templates”（虚拟机和模板）

HOL-1803-02-NET


启动启动 win-xp-01 的虚拟机控制台的虚拟机控制台

1. 选择“win-xp-01.corp.local”。2. 选择“Summary”（摘要）选项卡。3. 单击以启动控制台单击以启动控制台。

HOL-1803-02-NET


唤醒唤醒 win-xp-01 桌面桌面

单击以唤醒桌面

1. 单击“Send Ctrl+Alt+Delete”（发送 Ctrl+Alt+Delete）按钮以登录。

HOL-1803-02-NET


登录登录 win-xp-01 桌面桌面

登录凭证

1. 用户名：Administrator。2. 密码：VMware1!3. 单击“OK”（确定）

HOL-1803-02-NET


验证内部访问验证内部访问

从桌面启动 Mozilla 浏览器。

1. 单击“Customer DB-App”（客户数据库应用）链接以启动内部应用。

HOL-1803-02-NET


内部应用启动内部应用启动。

我们可以看到，Windows XP 虚拟机对我们的内部应用拥有完全访问权限。这是理想的安全状况。

打开命令提示符以进行外部访问打开命令提示符以进行外部访问

控制台虚拟机位于我们用于本练习的虚拟环境之外。因此，它代表的是我们环境外部的服务。我们将使用控制中心 IP 地址 192.168.110.10 来代表 Internet 服务。

HOL-1803-02-NET


1. 单击单击“Start”（开始开始）菜单菜单。2. 启动命令提示符启动命令提示符。

如果未显示如果未显示“Command Prompt”（命令提示符命令提示符）图标图标，请单击请单击“Run”（运行运行），输入输入“cmd”，然后按然后按 Enter 键以显示命令提示符键以显示命令提示符

验证外部访问验证外部访问

首先应对已定义虚拟数据中心外部的虚拟机执行 ping 操作，以表明 win-xp-01 可以访问外部网络。在本例中，您将使用主控制台的地址 (192.168.110.10)。这代表了 Internet。

ping 192.168.110.10

如图所示，通过执行 ping 操作，我们可以访问外部服务。这对运行终止支持操作系统的虚拟机造成了严重的潜在安全问题。

HOL-1803-02-NET


安全组创建安全组创建

现在，我们看到了允许终止支持虚拟机访问外部资源所存在的潜在漏洞，因此我们需要找一种方法来保护它们。我们将使用 NSX 中的安全组来快速识别运行 EOS 操作系统的虚拟机，并实施策略来保护它们。

创建安全组创建安全组

1. 单击“vSphere Web Client”浏览器选项卡。2. 单击“Home”（主页）图标。3. 选择“Networking & Security”（网络连接和安全性）。

HOL-1803-02-NET


启动启动 Service Composer

1. 单击“Service Composer”。

创建安全组创建安全组

1. 选择“Security Groups”（安全组）选项卡。2. 单击“New Security Group”（新建安全组）。

HOL-1803-02-NET


新建安全组新建安全组

1. 输入名称：Windows XP EOS。2. 单击“Next”（下一步）。


1. 选择“Computer OS Name”（计算机操作系统名称）。

HOL-1803-02-NET


2. 选择“Contains”（包含）。3. 输入Windows XP。4. 单击“Finish”（完成）。

验证安全组成员验证安全组成员

安全组已经创建，并且动态包含 Windows XP 虚拟机。

将鼠标移到“Virtual Machines”（虚拟机）列上方。此时应显示“1”。

1. 单击数字“1”以显示安全组中虚拟机的名称。2. 单击“X”关闭窗口。

HOL-1803-02-NET


限制虚拟机访问限制虚拟机访问

现在，我们将应用规则来限制虚拟机的外部访问。

应用策略应用策略

转至 Service Composer。

1. 选择我们之前创建的“Windows XP EOS”安全组。2. 单击“Apply Policy”（应用策略）图标。

HOL-1803-02-NET


新建安全策略新建安全策略

1. 单击“New Security Policy”（新建安全策略）

HOL-1803-02-NET


创建安全策略创建安全策略

1. 输入名称：Security Policy Internal Only Access。2. 单击“Firewall Rules”（防火墙规则）。

HOL-1803-02-NET


创建防火墙规则创建防火墙规则

1. 单击“New Firewall Rule”（新建防火墙规则）。

HOL-1803-02-NET


配置第配置第 1 条防火墙规则条防火墙规则

1. “Name”（名称）：Access Internal Resources2. “Action”（操作）：“Allow”（允许）3. “Source”（源）：“Policy's Security Groups”（策略所在的安全组）4. “Destination”（目标）：单击“Change”（更改）

HOL-1803-02-NET


选择目标选择目标

为了使本练习更易于配置，我们已经预先创建了“Internal Services”（内部服务）安全组，其中包含内部应用中的虚拟机。我们将创建规则，允许 EOS XP 虚拟机访问这些内部服务，但不允许其访问外部服务（即 Internet）。

1. 选择：“Select Security Groups”（选择安全组）。2. 选择：“Internal Services”（内部服务）。3. 单击“OK”（确定）。

确认防火墙规则设置确认防火墙规则设置

确认以下设置：

“Service”（服务）：“Any”（任何）

HOL-1803-02-NET


“State”（状态）：“Enabled”（已启用）

“Log”（记录）：“Do not log”（不记录）

1. 单击“OK”（确定）。

确认防火墙规则确认防火墙规则

1. 单击“Finish”（完成）。

添加更多防火墙规则添加更多防火墙规则

我们已经创建了一个安全组，以允许 Windows XP 虚拟机访问内部服务（内部应用）。但我们仍然需要添加更多规则，以允许内部服务之间的访问，还需要修改默认防火墙规则，以阻止所有其他访问（包括外部访问）。

1. 单击“Firewall”（防火墙）以访问防火墙规则。

HOL-1803-02-NET


编辑部分名称编辑部分名称

在防火墙“Configuration”（配置）选项卡上，执行以下操作：

1. 单击“Flow Monitoring & Trace Flow Rules”（流监控和跟踪流规则）部分的“AddSection”（添加部分）图标

2. 输入“Internal Services to Internal Services”作为部分名称3. 确认已选中确认已选中“Add section Below”（在下面添加部分在下面添加部分）4. 单击“Save”（保存）


1. 单击“Publish Changes”（发布变更）。


1. 单击“Add Rule”（添加规则）。2. 单击以展开规则部分单击以展开规则部分。

HOL-1803-02-NET


编辑防火墙规则名称编辑防火墙规则名称

1. 将鼠标悬停在铅笔图标铅笔图标上并单击，以编辑防火墙规则名称。2. 输入规则名称：App to App。3. 单击“Save”（保存）。

选择源选择源

1. 单击“Source”（源）列中的铅笔图标铅笔图标。2. 在“Object Type”（对象类型）下拉菜单中，选择“Security Group”（安全组）。3. 选择“Internal Services”（内部服务）安全组。4. 单击箭头箭头以将其添加到“Selected Objects”（所选对象）。5. 单击“OK”（确定）。

HOL-1803-02-NET



1. 单击“Destination”（目标）列中的铅笔图标铅笔图标。2. 在“Object Type”（对象类型）下拉菜单中，选择“Security Group”（安全组）。3. 选择“Internal Services”（内部服务）安全组。4. 单击箭头箭头以将其添加到“Selected Objects”（所选对象）。5. 单击“OK”（确定）。


我们新的防火墙规则将允许内部应用在各应用层之间进行通信。

确认“Source”（源）安全组为“Internal Services”（内部服务）

确认“Destination”（目标）安全组为“Internal Services”（内部服务）

HOL-1803-02-NET


确认“Action”（操作）为“Allow”（允许）


修改默认防火墙规则修改默认防火墙规则

为了阻止来自 Windows XP EOS 虚拟机的任何不需要的流量（包括传输到外部服务的流量），我们需要在默认防火墙规则上启用阻止操作。默认防火墙规则位于默认防火墙部分中。

1. 单击展开展开默认防火墙规则部分默认防火墙规则部分。2. 单击默认规则的“Action”（操作）列上的铅笔图标铅笔图标。3. 在“Action”（操作）中选择“Block”（阻止）。4. 单击“Save”（保存）。



HOL-1803-02-NET


验证验证 Windows XP 虚拟机的有限访问虚拟机的有限访问

现在，我们已经为 EOS Windows XP 虚拟机应用了规则。我们可以继续测试对内部和外部服务的访问。

重新打开重新打开 win-xp-01a 的控制台的控制台

1. 单击单击“win-xp-01a”对应的浏览器选项卡对应的浏览器选项卡。

HOL-1803-02-NET


确认允许访问内部服务确认允许访问内部服务

1. 刷新刷新“Customer DB-App”（客户数据库应用客户数据库应用）对应的浏览器选项卡对应的浏览器选项卡。

您将看到页面已刷新。这是内部服务之间的防火墙规则所允许的操作。

HOL-1803-02-NET


确认已阻止外部访问确认已阻止外部访问

1. 重新在 win-xp-01a 桌面上打开“Command Prompt”（命令提示符）。2. 在“Command Prompt”（命令提示符）中输入：ping 192.168.110.10。3. 确认对控制中心的外部访问现已被阻止阻止。

ping 192.168.110.10

现在我们可以看到，win-xp-01a 可以访问内部服务，但是它的外部访问已根据组策略被完全阻止。

HOL-1803-02-NET


单元清理单元清理：将默认规则设置为将默认规则设置为“Allow”（允许允许）

1. 展开展开“Default Section Layer3”（默认部分第默认部分第 3 层层）。2. 将鼠标悬停在默认规则的将鼠标悬停在默认规则的“Action”（操作操作）列上的铅笔图标上并单击列上的铅笔图标上并单击。3. 在在“Action”（操作操作）中选择中选择“Allow”（允许允许）。4. 单击单击“Save”（保存保存）。


1. 发布变更发布变更。

HOL-1803-02-NET


第第 3 单元结束语单元结束语


在本练习中，我们了解了使用智能分组可以如何快速地通过安全组容器化终止支持的操作系统。创建安全组之后，我们便可以使用它们来创建防火墙规则，以限制对其中所含的虚拟机的访问以及来自这些虚拟机的访问。安全组是一个多功能工具，随着安全要求的不断变化，我们可以重复使用它来更改策略或创建新策略。

如果您想了解有关 NSX 安全组功能和配置的更多信息，请通过以下 URL 查看 NSX 6.3 文档中心：









• 第第 1 单元单元 - 美国高级系统工程师美国高级系统工程师 Chris Cousins。• 第第 2 单元单元 - 美国高级系统工程师美国高级系统工程师 Chris Cousins。• 第第 3 单元单元 - 美国高级系统工程师美国高级系统工程师 Chris Cousins。• 第第 4 单元单元 - 美国高级系统工程师美国高级系统工程师 Chris Cousins。• 第第 5 单元单元 - 美国高级系统工程师美国高级系统工程师 Chris Cousins。



HOL-1803-02-NET



第第 4 单元单元 - 使用使用 Jump Box 实实现基于用户的安全性现基于用户的安全性（45 分钟分钟）

HOL-1803-02-NET


在在 Jump Box 场景中实现基于用户的安全性场景中实现基于用户的安全性

第第 4 单元单元

在在 Jump Box 场景中实现基于用户的安全性场景中实现基于用户的安全性。

简介简介

在本练习单元中，您将使用基于 NSX 身份的防火墙功能来创建防火墙规则。此功能利用的是从 NSXManager 到 Active Directory 的连接。NSX Manager 扫描 AD 服务器的事件日志，以确定有关凭证和事件的日志。登录虚拟机的用户可基于他们的 AD 组即时将虚拟机分配到安全组。通过结合使用安全组与防火墙规则，我们可以控制环境内的访问。

本练习将使用两个不同的 Active Directory 组和两位不同的用户。第一位用户是一位网络管理员，他应该能够访问环境中的任何应用；另一位用户是一位人力资源专员，他应该只能访问基于 HR Web的特定应用。


• 配置 NSX 与 Active Directory 之间的关联。• 创建基于 AD 组的安全组。• 为内部应用添加应用规则。• 确认并测试基于 AD 的规则。


第第 4 单元单元 - 美国高级系统工程师美国高级系统工程师 Chris Cousins。

HOL-1803-02-NET


了解了解 NSX 和和 Active Directory 之间的关联之间的关联

NSX 与 Active Directory 相互关联，以使用 AD 组来提供基于身份的防火墙规则。

启动浏览器和启动浏览器和 vSphere Web Client

• 双击桌面上的“Chrome”图标。




HOL-1803-02-NET



了解了解 NSX 和和 Active Directory 之间的关联之间的关联

1. 单击“Home”（主页）图标2. 单击“Networking & Security”（网络连接和安全性）

HOL-1803-02-NET


选择选择 NSX Manager

在左侧向下浏览到“NSX Managers”。注意，它指示只有一个对象。

1. 单击单击“NSX Managers”。

HOL-1803-02-NET


选择选择 NSX Manager

1. 单击单击“192.168.110.42”。

HOL-1803-02-NET


了解域连接器了解域连接器

1. 单击单击“Manage”（管理管理）选项卡选项卡。2. 单击单击“Domains”（域域）选项卡选项卡。3. 单击单击“corp.local”。4. 单击铅笔图标进行编辑单击铅笔图标进行编辑。

注意，此表中有一个条目。它是为另一个练习单元所配置的一部分，但您将逐步完成这一过程，因此有机会查看连接是如何创建的。

该连接要求您提供 AD 信息，以便 vCenter 可以通过访问 AD 了解组信息。注意：这与将 vCenter关联到 AD 以获得用户/角色使用的权限不同。

HOL-1803-02-NET


提供提供 NetBIOS 名称名称

在“Name”（名称）字段中，输入一个名称。然后，为域输入 NetBIOS 名称。

1. 单击单击“Next”（下一步下一步）

HOL-1803-02-NET


提供提供 LDAP 选项选项

您将在此完成配置。

1. 输入输入“VMware1!”作为密码作为密码。2. 单击单击“Next”（下一步下一步）。

HOL-1803-02-NET


安全事件日志访问选项安全事件日志访问选项

您将在此输入日志访问的设置。

1. 取消选中取消选中“Use Domain Credentials”（使用域凭证使用域凭证）框框2. 输入输入“administrator”和和“VMware1!”作为凭证作为凭证3. 单击单击“Next”（下一步下一步）

HOL-1803-02-NET


即将完成即将完成 - 确认设置确认设置

现在您需要确认所有设置。

1. 单击单击“Finish”（完成完成）。

AD 同步同步

1. 单击双齿轮图标单击双齿轮图标。2. 单击单齿轮图标单击单齿轮图标获取来自 AD 的更新。您应该能看到“Success”（成功）状态和当前日期。

注意，此过程可能需要 2-3 分钟才能成功。

HOL-1803-02-NET


创建已配置且已同步的 AD 连接后，即可准备在自己的安全策略中使用 AD 组。

HOL-1803-02-NET


使用基于使用基于 AD 组的安全对象组的安全对象

1. 安全对象已经定义为基于 AD 组成员，并将用于实施安全策略。

创建基于创建基于 AD 组的安全对象组的安全对象

1. 将鼠标悬停在将鼠标悬停在“Home”（主页主页）按钮上按钮上。2. 单击“Networking & Security”（网络连接和安全性）。

创建新的防火墙规则部分创建新的防火墙规则部分

1. 在导航窗格上，单击“Firewall”（防火墙）链接。2. 单击“Flow Monitoring & Traceflow Rules”（流监控和跟踪流规则）部分的“Add

Section”（添加部分）图标

HOL-1803-02-NET


AD 组防火墙规则部分组防火墙规则部分

1. 将新部分命名为 AD Based Firewall Rules。2. 确认已选中“Add section below”（在下面添加部分）。3. 单击“Save”（保存）。

添加规则添加规则 - Network Admin Access

1. 在新创建的规则部分上，单击“Add rule”（添加规则）图标。2. 单击以展开展开新创建的规则部分。3. 单击“Name”（名称）列上的铅笔图标铅笔图标以编辑新规则。

为规则命名为规则命名

1. 输入名称输入名称：Network Admin Access2. 单击单击“Save”（保存保存）。

HOL-1803-02-NET


编辑源编辑源

您要将一个域组添加到“Network Admin Access”规则的“Source”（源）字段中。

1. 将鼠标悬停在将鼠标悬停在“Source”（源源）字段上并单击铅笔符号字段上并单击铅笔符号。2. 选择选择“Object Type”（对象类型对象类型）下拉列表中的下拉列表中的“Security Group”（安全组安全组）。3. 单击单击“New Security Group”（新建安全组新建安全组）。

HOL-1803-02-NET


将新安全组命名为将新安全组命名为 Net-Admin

1. 输入输入“Net-Admin”作为名称作为名称。2. 单击单击“Define Dynamic membership”（定义动态成员定义动态成员）。

HOL-1803-02-NET



1. 从下拉菜单中选择从下拉菜单中选择“Entity”（实体实体）2. 选择选择“Belongs to”（属于属于）3. 单击打开单击打开“Select Entity”（选择实体选择实体）窗口窗口

HOL-1803-02-NET


选择选择 AD 组组

1. 选择类型选择类型“Directory Group”（目录组目录组）。2. 在搜索框中输入在搜索框中输入“app”。3. 选择选择“AppConfiguration”。4. 单击单击“OK”（确定确定）。

HOL-1803-02-NET


完成完成 AD 组组


确认安全组选择确认安全组选择

1. 单击单击“OK”（确定确定）

编辑规则目标编辑规则目标

1. 将鼠标悬停在新创建规则的将鼠标悬停在新创建规则的“Destination”（目标目标）列中的铅笔图标上并单击列中的铅笔图标上并单击。

HOL-1803-02-NET


选择选择“Internal Services”（内部服务内部服务）安全组安全组

1. 从“Object Type”（对象类型）下拉菜单中，选择“Security Group”（安全组）。2. 选择预先创建的选择预先创建的“Internal Services”（内部服务内部服务）安全组安全组。3. 单击向右箭头以将其添加到单击向右箭头以将其添加到“Selected Objects”（所选对象所选对象）中中。4. 单击单击“OK”（确定确定）。

“Internal Services”（内部服务）安全组包含内部环境中的所有虚拟机。此规则将允许管理员连接到内部环境中的任何应用和/或任何虚拟机。

确认规则设置确认规则设置

新规则应允许 Net-Admin（AppConfiguration AD 组成员组成员）使用任何服务任何服务访问内部服务内部服务（所有所有内部应用内部应用）。

1. 单击单击“Publish Changes”（发布变更发布变更）。

添加规则添加规则 - Human Resources Access

1. 单击以展开“AD Based Firewall Rules”（基于 AD 的防火墙规则）部分2. 单击“Add Rule”（添加规则）图标。

HOL-1803-02-NET


为规则命名为规则命名

1. 将鼠标悬停在将鼠标悬停在新创建规则的“Name”（名称）列中的铅笔图标上并单击铅笔图标上并单击。2. 输入规则名称：Human Resources Access。3. 单击单击“Save”（保存保存）。

编辑源编辑源

您要将一个域组添加到“Human Resources Access”规则的“Source”（源）字段中。

HOL-1803-02-NET


1. 将鼠标悬停在将鼠标悬停在“Source”（源源）字段上并单击铅笔符号字段上并单击铅笔符号2. 选择选择“Object Type”（对象类型对象类型）下拉菜单中的下拉菜单中的“Security Group”（安全组安全组）3. 单击单击“New Security Group”（新建安全组新建安全组）

将新安全组命名为将新安全组命名为 HR-Admin

1. 输入输入 HR-Admin 作为名称作为名称。2. 单击单击“Define Dynamic membership”（定义动态成员定义动态成员）。

HOL-1803-02-NET



1. 从下拉菜单中选择从下拉菜单中选择“Entity”（实体实体）2. 选择选择“Belongs to”（属于属于）3. 单击打开单击打开“Select Entity”（选择实体选择实体）窗口窗口

选择目录组选择目录组

1. 选择类型选择类型“Directory Group”（目录组目录组）

HOL-1803-02-NET


2. 在搜索框中输入在搜索框中输入“Hr”3. 选择选择“HResources”4. 单击单击“OK”（确定确定）

完成安全组的创建完成安全组的创建


确认安全组选择确认安全组选择

1. 单击单击“OK”（确定确定）。

HOL-1803-02-NET


编辑规则目标编辑规则目标

1. 将鼠标悬停在将鼠标悬停在新创建规则的“Destination”（目标目标）列中的铅笔图标上并单击列中的铅笔图标上并单击。

定义目标选择定义目标选择

HR 专员应只能访问 HR Web 应用。

1. 从“Object Type”（对象类型）下拉菜单中，选择“Virtual Machine”（虚拟机）。2. 在搜索字段中输入在搜索字段中输入“web”。3. 从“Available Objects”（可用对象）窗口中，选择“hr-web-01a”。4. 单击箭头图标箭头图标以将其添加到“Selected Objects”（所选对象）中。5. 单击单击“OK”（确定确定）。

HOL-1803-02-NET


定义服务定义服务

1. 将鼠标悬停在铅笔图标上并单击以编辑服务将鼠标悬停在铅笔图标上并单击以编辑服务。

限制允许的服务限制允许的服务

HR 专员应只能通过 Web 访问来访问应用。（HTTP 和 HTTPS）

1. 从“Object Type”（对象类型）下拉菜单中，选择“Service”（服务）。2. 在搜索窗口中，输入 http。3. 从“Available Objects”（可用对象）窗口中，选择“HTTP”和“HTTPS”。4. 单击箭头图标箭头图标以将其添加到“Selected Objects”（所选对象）中。5. 单击单击“OK”（确定确定）。

HOL-1803-02-NET


确认规则设置确认规则设置

新规则应允许 HR-Admin（人力资源人力资源 AD 组成员组成员）使用HTTP 和和 HTTPS 服务服务来访问 HR 和和Web 应用应用。


HOL-1803-02-NET


定义内部应用防火墙规则定义内部应用防火墙规则

本练习中的内部应用将需要更多规则以实现各应用层之间的通信。

添加更多防火墙规则添加更多防火墙规则

我们已经创建了基于 AD 的防火墙规则，以允许 HR 专员和 Net 管理员基于角色访问相应的应用。但我们仍然需要添加更多规则，以允许内部服务之间的访问，还需要修改默认防火墙规则，以阻止所有其他访问（包括外部访问）。

1. 单击“Firewall”（防火墙）以访问防火墙规则。

编辑部分名称编辑部分名称

HOL-1803-02-NET


在防火墙“Configuration”（配置）选项卡上，执行以下操作：

1. 单击单击“Flow Monitoring & Traceflow Rules”（流监控和跟踪流规则流监控和跟踪流规则）部分的部分的“AddSection”（添加部分添加部分）图标图标

2. 输入输入“Internal Services to Internal Services”作为部分名称作为部分名称3. 确认已选中确认已选中“Add section Below”（在下面添加部分在下面添加部分）4. 单击单击“Save”（保存保存）



HOL-1803-02-NET



1. 单击“Add Rule”（添加规则）。2. 单击以展开规则部分。

HOL-1803-02-NET


编辑防火墙规则名称编辑防火墙规则名称

1. 单击铅笔图标以编辑防火墙规则名称单击铅笔图标以编辑防火墙规则名称2. 输入规则名称输入规则名称：App to App3. 单击单击“Save”（保存保存）。

HOL-1803-02-NET


选择源选择源

1. 单击单击“Source”（源源）列中的铅笔图标列中的铅笔图标。2. 在在“Object Type”（对象类型对象类型）下拉菜单中下拉菜单中，选择选择“Security Group”（安全组安全组）。3. 选择选择“Internal Services”（内部服务内部服务）安全组安全组。4. 单击箭头以将其添加到单击箭头以将其添加到“Selected Objects”（所选对象所选对象）。5. 单击单击“OK”（确定确定）。

HOL-1803-02-NET



1. 单击单击“Destination”（目标目标）列中的铅笔图标列中的铅笔图标。2. 在在“Object Type”（对象类型对象类型）下拉菜单中下拉菜单中，选择选择“Security Group”（安全组安全组）。3. 选择选择“Internal Services”（内部服务内部服务）安全组安全组。4. 单击箭头以将其添加到单击箭头以将其添加到“Selected Objects”（所选对象所选对象）。5. 单击单击“OK”（确定确定）。


我们新的防火墙规则将允许内部应用在各应用层之间进行通信。

1. 确认确认“Source”（源源）和和“Destination”（目标目标）均为均为“Internal Services”（内部服内部服务务）安全组安全组

2. 确认确认“Action”（操作操作）为为“Allow”（允许允许）3. 单击单击“Publish Changes”（发布变更发布变更）

HOL-1803-02-NET


修改默认防火墙规则修改默认防火墙规则

为阻止任何不需要的流量，我们需要在默认防火墙规则上启用阻止操作。默认防火墙规则位于默认防火墙部分中。

1. 单击展开默认防火墙规则展开默认防火墙规则部分。2. 单击默认规则默认规则的“Action”（操作）列上的铅笔图标铅笔图标。3. 在“Action”（操作）中选择“Block”（阻止）。4. 单击“Save”（保存）。



HOL-1803-02-NET


测试基于用户身份的规则测试基于用户身份的规则

为测试新创建的规则，我们必须使用不同的用户 AD 凭证登录 win12-jump 虚拟机。

测试用户身份规则测试用户身份规则

您可以打开域中的 Jump Box 虚拟机 (win-12-jump) 的控制台，并以 Active DirectoryAppConfiguration 组或 HR 组成员的身份登录，以便测试基于身份的新规则。用户 Netadmin 是AppConfiguration 组的成员，因此可以登录任何内部应用或应用层。用户 HRadmin 是 HR 组的成员，因此只能登录 HR Web 应用和财务 Web 应用。您将分别用以上两个身份登录，看一看尝试访问多个 3 层应用的结果。

1. 单击单击“Home”（主页主页）图标图标。2. 单击单击“VMs and Templates”（虚拟机和模板虚拟机和模板）。

HOL-1803-02-NET


打开打开 Jumpbox 的控制台的控制台

展开容器“RegionA01”和“Discovered virtual machines”（已发现的虚拟机）以找到win12-jump.

1. 展开其他虚拟机展开其他虚拟机。2. 右键单击右键单击“win12-jump”。3. 单击单击“Open Console”（打开控制台打开控制台）。

HOL-1803-02-NET


以以 HRadmin 身份登录身份登录

1. 单击单击“Send Ctrl+Alt+Del”（发送发送 Ctrl+Alt+Del）。使用控制台按钮。2. 单击向左箭头单击向左箭头。3. 选择选择“Other user”（其他用户其他用户）。4. 输入用户名输入用户名：hradmin5. 密码密码：VMware1!.（务必在“!”符号后加上“.”）6. 单击箭头单击箭头。

HOL-1803-02-NET


打开打开 Chrome 浏览器浏览器

1. 通过桌面图标启动 Chrome 浏览器浏览器。

HOL-1803-02-NET


启动启动 HR 数据库应用数据库应用

1. 单击“HR DB App”（HR 数据库应用）书签。

用户 HRadmin 属于 HR 域组，因此只能只能访问 HR 医疗应用。

HOL-1803-02-NET


尝试启动财务数据库应用尝试启动财务数据库应用

1. 单击“Finance DB App”（财务数据库应用）书签。

此链接将连接失败连接失败。再次说明，用户 HRadmin 属于 HR 域组，因此只能只能访问 HR 医疗应用。

注销注销 HRadmin

1. 单击单击“Send Ctrl+Alt+Del”（发送发送 Ctrl+Alt+Del）。2. 单击单击“Sign Out”（注销注销）。

HOL-1803-02-NET


切换到其他用户切换到其他用户

1. 单击单击“Send Ctrl+Alt+Del”（发送发送 Ctrl+Alt+Del）。2. 单击单击“Other user”（其他用户其他用户）。

以以 NetAdmin 身份登录身份登录

1. 输入用户名输入用户名：NetAdmin。2. 密码密码：VMware1!.（务必在“!”符号后加上“.”）3. 单击箭头单击箭头。

HOL-1803-02-NET


打开打开 Chrome 浏览器浏览器

1. 通过桌面图标启动通过桌面图标启动 Chrome 浏览器浏览器。

启动启动 HR 数据库应用数据库应用

HOL-1803-02-NET


1. 单击“HR DB App”（HR 数据库应用）书签。

用户 NetAdmin 属于 AppConfiguration 域组，因此可以访问所有应用。

启动启动 HOL 财务应用财务应用

1. 单击“Finance DB App”（财务数据库应用）书签。


HOL-1803-02-NET


启动客户数据库应用启动客户数据库应用

1. 单击“Customer DB App”（客户数据库应用）书签。


您可以关闭您可以关闭 Jumpbox 的控制台的控制台。

HOL-1803-02-NET




在本练习中，我们了解了如何通过使用 NSX 中基于身份的防火墙功能控制对内部应用的访问。我们针对网络管理员和人力资源专员创建了基于 AD 的防火墙规则。这些规则只只允许 HR 专员通过 HTTP协议连接到 HR Web 应用。此外，这些规则还允许网络管理员通过任何协议连接到任何应用。这样，我们就可以基于组织内的角色，控制用户利用正确的权限级别对正确的应用进行访问。

如果您想了解有关基于 NSX 身份的防火墙的功能和配置的更多信息，请通过以下 URL 查看 NSX6.3 文档中心：









• 第第 1 单元单元 - 美国系统工程师美国系统工程师 Chris Cousins。• 第第 2 单元单元 - 美国系统工程师美国系统工程师 Chris Cousins。• 第第 3 单元单元 - 美国系统工程师美国系统工程师 Chris Cousins。• 第第 4 单元单元 - 美国系统工程师美国系统工程师 Chris Cousins。• 第第 5 单元单元 - 美国系统工程师美国系统工程师 Chris Cousins。



HOL-1803-02-NET



第第 5 单元单元 - NSX ApplicationRule Manager（30 分钟分钟）

HOL-1803-02-NET


第第 5 单元单元：Application Rule Manager简介简介

Application Rule Manager (ARM) 是 NSX 6.3 中引入的一个新工具集。它利用实时流数据，以实现零信任安全模型所要求的快速、高效的微分段规划和实施。ARM 提供了一种新的方式，有助于保护比 Log Insight 能保护的规模更大的全新或现有的应用，以及保护比 vRealize Network Insight(vRNI) 能保护的规模更小的环境。

ARM 在应用工作负载内部、外部和之间收集实时流数据，因此能够创建以应用为中心的安全模型。ARM 的每个会话可以监控最多 30 个虚拟机，在任何给定时间可以运行总共 5 个会话。通过 ARM还可以查看被阻止的流以及阻止流的防火墙规则。

Application Rule Manager 工作流包括三个步骤：

1. 选择组成应用并且需要监控的虚拟机 (VM)。配置完成后，虚拟机上已定义的一组 VNIC（虚拟化网卡）的所有传入流和传出流都将得到监控。一次最多可以有五个收集流的会话。

2. 停止监控以生成流表。然后对流进行分析，以揭示虚拟机之间的交互。可以过滤流，以查看有限工作集的流记录。

3. 使用流表创建分组对象，例如安全组、IP 组、服务和服务组以及防火墙规则。


第第 5 单元单元 - 美国高级系统工程师美国高级系统工程师 Chris Cousins

HOL-1803-02-NET


应用微分段应用微分段

启动启动 Chrome 浏览器和浏览器和 vSphere Web Client

1. 双击桌面上的 Chrome 图标

HOL-1803-02-NET






HOL-1803-02-NET


探索探索 Application Rule Manager

1. 选择“Home”（主页）2. 选择“Networking & Security”（网络连接和安全性）

HOL-1803-02-NET


选择选择“Flow Monitoring”（流监控流监控）

1. 选择“Flow Monitoring”（流监控）

HOL-1803-02-NET


针对针对 HR_DB_App 启动新会话启动新会话

1. 选择“Application Rule Manager”选项卡2. 单击“Start New Session”（启动新会话），以开始收集应用的流数据。

HOL-1803-02-NET


为为 HR_DB_App 选择虚拟机选择虚拟机

1. “Session Name”（会话名称）：HR_DB_App。2. 从“Object Type”（对象类型）下拉列表中选择“Virtual Machine”（虚拟机）。3. 在搜索字段中输入 hr。4. 选择“hr-web-01a.corp.local”、“hr-db-01a.corp.local”和“hr-app-01a.corp.local”。5. 单击向右箭头6. 单击“OK”（确定）。

创建一些流量流创建一些流量流 - ICMP

HOL-1803-02-NET


Application Rule Manager 现在正从三个 HR_DB_App 虚拟机收集流数据。收集过程运行的时间越长，您需要分析的数据就越多。为了达到我们的目的，我们将收集流数据三分钟。要生成流数据，请执行以下操作：

1. 打开一个 PuTTY 会话并选择“hr-web-01a.corp.local”2. 在命令行中输入 ping -c 2 172.16.60.123. 在主控制台上打开命令提示符命令提示符4. ping 172.16.60.10

ping -c 2 172.16.60.12

ping 172.16.60.10

创建更多流量流创建更多流量流 - HTTPS

1. 打开一个新的 Chrome 浏览器选项卡浏览器选项卡2. 单击“HR DB App”（HR 数据库应用）书签3. 刷新刷新页面几次。

收集数据收集数据 - 停止停止

在三分钟内，您将在“Flow Monitoring”（流监控）控制台中看到“Flows”（流）。每个练习的流数量将会不一样。

1. 三分钟之后，单击“Stop”（停止）。2. 单击“Yes”（是）确认。

HOL-1803-02-NET


查看流数据查看流数据

在此，我们可以看到源 IP 和目标 IP，以及 HTTP、HTTPS 等服务。

针对针对 Finance_DB_App 启动新会话启动新会话

在分析收集的 HR 应用数据之前，我们将再针对财务应用配置一个会话，以演示如何收集多个数据流会话。

针对针对 Finance_DB_App 启动会话启动会话

1. 单击“Start New Session”（启动新会话）

为为 Finance_DB_App 选择虚拟机选择虚拟机

HOL-1803-02-NET


1. Session Name（会话名称）：Finance_DB_App。2. 从“Object Type”（对象类型）下拉列表中选择“Virtual Machine”（虚拟机）。3. 在搜索字段中输入 fin。4. 选择“fin-web-01a.corp.local”、“fin-db-01a.corp.local”和“fin-app-01a.corp.local”。5. 单击向右箭头6. 单击“OK”（确定）。

Finance_DB_App 数据收集数据收集

Application Rule Manager 现在正从三个 Finance_DB_App 虚拟机收集流数据。收集过程运行的时间越长，您需要分析的数据就越多。为了达到我们的目的，我们将收集流数据三分钟。要生成流数据，请打开一个新的 Chrome 浏览器选项卡，并单击“Finance DB App”（财务数据库应用）书签，然后刷新页面几次。在三分钟内，您将在“Flow Monitoring”（流监控）控制台中看到“Flows”（流）。每个练习的流数量将会不一样。

1. 单击“Stop”（停止）2. 单击“Yes”（是）

HOL-1803-02-NET


查看会话查看会话

现在，我们可以看到 Application Rule Manager 已成功收集了“HR_DB_App”和“Finance_DB_App”这两个会话中的虚拟机的流数据。

查看源查看源

1. 单击“Source”（源）以查看被监控的虚拟网卡。

HOL-1803-02-NET


查看流持续时间查看流持续时间

1. 单击“Flows”（流）以查看收集时间和持续时间。

针对针对 Finance_DB_App 启动流分析启动流分析

1. 单击“Analyze”（分析）分析收集的流数据。

HOL-1803-02-NET


针对针对 HR_DB_App 启动流分析启动流分析

完成 Finance_DB_App 的数据分析后，执行以下操作：

1. 从“Session”（会话）下拉菜单中，选择“HR_DB_App”2. 单击“Analysis”（分析）

验证数据分析验证数据分析

1. 验证“Analysis Complete”（分析完成）是否显示绿色对勾标记。这表示数据分析成功。

HOL-1803-02-NET


HR_DB_App 处理后的视图处理后的视图

分析并处理流数据之后，NSX 已用虚拟机名称替换了 IP，这样就更容易在对象之间逻辑对应各个流。

HR_DB_App 防火墙规则防火墙规则

我们将使用 ARM 为我们提供的信息对 HR_DB_App 和 Finance_DB_App 之内及之间的虚拟机进行微分段。我们来看看 hr-web-01a 是否能与 hr-db-01a 通信。

1. 针对 hr-web-01a.corp.local 打开一个 Putty 会话。2. 单击“Destination”（目标）列中的“hr-db-01a.corp.local”以检索其 IP 地址。3. 在此，我们可以看到 IP 地址“172.16.60.12”以及虚拟网卡信息。4. 对 172.16.60.12 执行 ping 操作。您应该能看到 ping 操作成功完成，不会发生丢包。

ping -c 2 172.16.60.12

HOL-1803-02-NET


我们刚刚确认了 HR_DB_App 的虚拟机 web-01a 可以与虚拟机 db-01a 直接通信。这并不是理想的情况！接下来，我们将配置适当的防火墙规则，以控制三层虚拟机之间的流量。

新建防火墙规则新建防火墙规则

1. 选择“Source”（源）为“192.168.110.10”、“Destination”（目标）为“hr-web-01a.corp.local”、“Service”（服务）为“SSH”的流。

2. 单击齿轮齿轮图标3. 选择“Create Firewall Rule”（创建防火墙规则）

HOL-1803-02-NET


Control Center to HR_Web

1. Name（名称）： Control Center to HR_Web2. 单击“Service”（服务）对面的“Select”（选择）

HOL-1803-02-NET


选择服务选择服务

1. 在搜索字段中输入 https。2. 选择“HTTPS”。3. 单击向右箭头向右箭头。4. 确认已选择“SSH”和“HTTPS”5. 单击单击“OK”（确定确定）

HOL-1803-02-NET


确认配置确认配置

1. 确认您的配置与图标所示一致，然后单击“OK”（确定）

HOL-1803-02-NET


配置防火墙规则配置防火墙规则 HR_Web to HR_App

1. 选择“Destination”（目标）为“hr-app-01a”的行。2. 单击“Actions”（操作）齿轮图标，然后选择“Create Firewall Rule”（创建防火墙规则）。

HOL-1803-02-NET


新建防火墙规则新建防火墙规则：HR_Web to HR_App

1. “Name”（名称）：HR_Web to HR_App2. 保留所有其他设置为默认值，并单击“OK”（确定）

配置新的防火墙规则配置新的防火墙规则：HR_App to HR_DB

HOL-1803-02-NET


1. 选择“Destination”（目标）为“hr-db-01a”的行。2. 单击齿轮图标，然后选择“Create Firewall Rule”（创建防火墙规则）3. 请勿勿选择“Service”（服务）为“ICMP Echo”的行

新建防火墙规则新建防火墙规则：HR_App to HR_DB

发布防火墙规则发布防火墙规则

1. 在“Flow Details”（流详细信息）下，选择“Firewall Rules”（防火墙规则）选项卡。在此，我们可以看到刚刚创建的防火墙规则。

2. 我们还可以在此视图中编辑和删除编辑和删除防火墙规则。3. 单击“Publish”（发布）

HOL-1803-02-NET


输入名称输入名称

1. Section Name（部分名称）：HR_DB_App2. 选择“Default Section Layer 3”（默认部分第 3 层）

查看查看 HR_DB_App 防火墙规则防火墙规则

1. 在“Navigator”（导航器）窗格中，选择“Firewall”（防火墙）

HOL-1803-02-NET


HR_DB_App 3 层防火墙规则层防火墙规则

在此，我们可以查看刚刚在 Application Rule Manager 中配置的防火墙规则。接下来，我们将测试HR_DB_App 能否让网页仍旧解析数据，并阻止不安全的流量。

编辑默认防火墙规则编辑默认防火墙规则

1. 在“Default Rule”（默认规则）下，单击铅笔铅笔图标以编辑规则。2. “Action”（操作）：“Block”（阻止）3. 单击“Save”（保存）

1. 发布变更发布变更

HOL-1803-02-NET


验证验证 HR_DB_App 是否正在运行是否正在运行

如果您已关闭“HOL-HR Department”（HOL HR 部门）选项卡，请执行以下操作：

1. 打开一个新的 Chrome 浏览器选项卡2. 单击“HR DB App”（HR 数据库应用）书签。

您应该能看到“HR Employee Salary Database”（HR 员工工资数据库）。

打开命令提示符打开命令提示符

我们来测试一下能否从主控制台成功地对网络、应用和数据库服务器执行 ping 操作：

1. ping 172.16.60.10

HOL-1803-02-NET


2. ping 172.16.60.113. ping 172.16.60.12

ping 172.16.60.10

ping 172.16.60.11

ping 172.16.60.12

现在，我们可以看到 ICMP 流量已被阻止。唯一允许的流量是 HTTPS。

注意：在本练习中，我们将 web-01a 防火墙规则配置成了允许 SSH，因此我们可以通过 PuTTY 访问虚拟机，以进行下一个测试。

打开打开 PuTTY

ping -c 2 172.16.60.12

1. ping -c 2 172.16.60.122. 大概 10 秒钟后，按下 Control+C 组合键终止 ping 操作。

现在，我们可以看到从 web-01a 到 db-01a 的流量已被阻止！

HOL-1803-02-NET



祝贺您！您已经完成了第 5 单元的学习！

如果您想了解有关 NSX Application Rule Manager 功能和配置的更多信息，请通过以下 URL 查看NSX 6.3 文档中心：









• 第第 1 单元单元 - 美国高级系统工程师美国高级系统工程师 Chris Cousins。• 第第 2 单元单元 - 美国高级系统工程师美国高级系统工程师 Chris Cousins。• 第第 3 单元单元 - 美国高级系统工程师美国高级系统工程师 Chris Cousins。• 第第 4 单元单元 - 美国高级系统工程师美国高级系统工程师 Chris Cousins。



HOL-1803-02-NET



ConclusionThank you for participating in the VMware Hands-on Labs. Be sure to visithttp://hol.vmware.com/ to continue your lab experience online.

Lab SKU: ManualExport-HOL-1803-02-NET.zip

Version: 20171023-122250

HOL-1803-02-NET


http://hol.vmware.com/

Documents

Table of Contents - docs.hol.vmware.comdocs.hol.vmware.com/HOL-2018/Localization/manuals/zh/manualexport-hol... · 练习指导 注意：完成本练习需要 90 多分钟。每次最好只完成

Table of Contents - docs.hol.vmware.comdocs.hol.vmware.com/HOL-2018/Localization/manuals/zh/manualexport-hol... · 练习指导注意：完成本练习需要 90 多分钟。每次最好只完成