利用分布式防火墻可以把一組虛機跟其他的網(wǎng)絡(luò)環(huán)境隔離開來，這些虛機就像連接在同一個物理網(wǎng)段上，這個虛擬的網(wǎng)段稱之為“微分段 （Micro Segmentation）”，微分段內(nèi)的虛機才可以相互訪問。

　　實際上，這些虛機可能是分布在不同物理服務(wù)器上的，這些物理服務(wù)器可能位于不同的物理網(wǎng)段，微分段在虛擬網(wǎng)絡(luò)上把這些虛機與其他網(wǎng)絡(luò)相隔離。我們可以利用微分段在數(shù)據(jù)中心內(nèi)部對虛機進行隔離，把不同業(yè)務(wù)部門的虛擬服務(wù)器分隔在不同的微分段里，減少應(yīng)用的受攻擊面，提高應(yīng)用的安全性。

　　微分段是一種很好地保護應(yīng)用和數(shù)據(jù)安全的機制，但是防火墻規(guī)則還是需要由網(wǎng)絡(luò)管理員手工來創(chuàng)建的，這就要求管理員對企業(yè)的應(yīng)用架構(gòu)比較熟悉，只有了解了應(yīng)用之間的調(diào)用關(guān)系、通訊協(xié)議和端口，才能夠比較準確地配置好微分段。

　　但是應(yīng)用一般是由應(yīng)用組來負責管理的，管理員一般缺乏應(yīng)用的相關(guān)知識；另外數(shù)據(jù)中心往往運行著上百個應(yīng)用，采用傳統(tǒng)的方法來配置微分段就顯得尤為挑戰(zhàn)，費時費力、容易遺漏和出錯。

　　從 6.3 開始，NSX-V 中增加了 Application Rule Manager 工具 （后面簡稱 ARM），來幫助用戶自動識別應(yīng)用之間的通訊模式。在 NSX 虛擬化網(wǎng)絡(luò)環(huán)境下，任何一臺虛機都可以被置于監(jiān)控模式下 （monitoring mode），在這一模式下 ARM 可以對虛機之間的網(wǎng)絡(luò)數(shù)據(jù)包進行監(jiān)控和分析，從而得出虛機之間的通訊模式，并且根據(jù)分析的結(jié)果來自動生成防火墻規(guī)則，來規(guī)定虛機之間哪些端口上的哪些協(xié)議是允許的、哪些是應(yīng)該被禁止的，由此創(chuàng)建針對該應(yīng)用的微分段。ARM 也可以用于分析現(xiàn)有的應(yīng)用環(huán)境，幫助管理員更加深入地了解應(yīng)用之間的通訊模式，進而對現(xiàn)有的防火墻規(guī)則進行調(diào)整和優(yōu)化。

　　跟 ARM 配套的另一項功能是端點監(jiān)控工具 EM （Endpoint Monitoring），EM 的分析深入到了虛機內(nèi)部，它能夠看到虛機內(nèi)部進行網(wǎng)絡(luò)通訊的應(yīng)用進程。有了 EM 工具，管理員就可以看到虛機內(nèi)部有哪些進程在哪些端口上偵聽、哪些進程正在試圖進行網(wǎng)絡(luò)連接；甚至可以看到進程的細節(jié)，例如進程名字、應(yīng)用名字、版本號等。舉個例子，EM 工具提供的信息能夠詳盡到：”虛機 VM1 中的一個版本為 的 SQL client 正在連接虛機 VM2 中的版本為 的 SQL Server”。

　　它可以透過原始的網(wǎng)絡(luò)數(shù)據(jù)流 IP 地址，分析出是虛機上哪些應(yīng)用在進行通訊；它也能夠展示虛機的細節(jié)屬性：所屬的安全組、附帶的安全標簽等；除了網(wǎng)絡(luò)端口和協(xié)議，ARM 也能夠識別出應(yīng)用級的網(wǎng)關(guān)，從而把多個網(wǎng)絡(luò)數(shù)據(jù)流整合為一種通訊模式。ARM 也能夠在應(yīng)用級的數(shù)據(jù)流中過濾掉廣播和組播數(shù)據(jù)包，去掉重復(fù)的信息和合并同樣的通訊模式。通過一系列的分析，ARM 最終能夠為用戶 建議需要創(chuàng)建的安全組和防火墻規(guī)則，管理員只需要按一個按鈕就可以發(fā)布這些安全規(guī)則。

　　應(yīng)用規(guī)則管理工具 ARM 和端點監(jiān)控工具 EM 能夠幫助管理員更好地了解應(yīng)用內(nèi)部或應(yīng)用之間的網(wǎng)絡(luò)通訊模式，從信息安全“零信任”的角度來看：所有應(yīng)用正常工作情況下沒有用到的網(wǎng)絡(luò)通訊都應(yīng)該被禁止，在防火墻中對應(yīng)的網(wǎng)絡(luò)協(xié)議和端口應(yīng)該被設(shè)置成為阻止。在識別應(yīng)用間通訊模式的基礎(chǔ)上，ARM 和 EM 工具能夠把識別的結(jié)果一鍵轉(zhuǎn)換為防火墻中的規(guī)則。下面展示了防火墻策略模型，在所有的安全規(guī)則中，應(yīng)用間和應(yīng)用內(nèi)的通訊規(guī)則是 ARM 和 EM 工具能夠?qū)崿F(xiàn)的范圍。

　　自從 ARM 工具推出之后，已經(jīng)在很多客戶的實際環(huán)境中得到應(yīng)用。例如，某個用戶使用 ARM 工具監(jiān)控 Skye 應(yīng)用20分鐘，總共觀察到2500個原始數(shù)據(jù)流，經(jīng)過分析后合并為300個；ARM 發(fā)現(xiàn)其中有79個數(shù)據(jù)流沒有被任何防火墻規(guī)則覆蓋，最后用戶創(chuàng)建了幾條新的防火墻規(guī)則來覆蓋這79個數(shù)據(jù)流。

　　下面給大家看一個利用 ARM 工具來為應(yīng)用創(chuàng)建微分段的演示視頻。利用 ARM 工具來為應(yīng)用創(chuàng)建微分段只需要三個步驟：

　　詳情查看：https://www.bilibili.com/video/av55135774/?redirectFrom=h5

　　VMware 和 Intel 攜手網(wǎng)絡(luò)和安全轉(zhuǎn)型，共同打造虛擬云網(wǎng)絡(luò) （Virtual Cloud Network），為數(shù)字化時代確定網(wǎng)絡(luò)發(fā)展前景。虛擬云網(wǎng)絡(luò)基于運行在 Intel 架構(gòu)上的 NSX 技術(shù)而構(gòu)建， 跨數(shù)據(jù)中心、云、邊緣環(huán)境和任意硬件基礎(chǔ)架構(gòu)提供無處不在的基于軟件的網(wǎng)絡(luò)連接，具有以下特點：