VMware竟然出了一款防火墙

戳蓝字“CSDN云计算”关注我们哦！

640?wx_fmt=jpeg

极客头条：速递、最新、绝对有料。这里有企业新动、这里有业界要闻，打起十二分精神，紧跟fashion你可以的！

防火墙，这个在安全界“恐龙时代”就存在的产品，相信但凡稍微接触过网络安全的人都会知道。按照百度百科上的解释，防火墙是位于内部网和外部网之间的屏障，它按照系统管理员预先定义好的规则来控制数据包的进出。防火墙是系统的第一道防线，其作用是防止非法用户的进入。曾几何时，并称为网络安全“老三样”的防火墙、入侵检测以及防病毒一度撑起了网络安全的整个天空。但时过境迁，这款经典的网络安全组合，在面对日新月异的网络安全新形势的情况下，已经渐渐力不从心，逐渐失去了以往“一统安全天下”的能力。特别是随着网络边界的日渐模糊，作为内、外网之间屏障的传统防火墙，就如同昔日的马奇诺防线一样，已将丧失威力。所以，当听说VMware要推出一款防火墙产品时，老孙心里是蛮惊讶的。带着这样的心情，老孙听起了VMware大中华区高级产品经理傅纯一对这款防火墙产品的介绍。

640?wx_fmt=png

这到底是一款什么样的防火墙

傅纯一介绍说，在今年的RSA Conference中，VMware做了一系列的重大发布，其中，最主要的就是一款被称作服务定义防火墙（Service-defined）的产品。所谓Service-defined，简言之，就是指在虚拟机上为应用或者服务（Service）提供保护。服务定义的防火墙就是为这个应用或者服务量身定制的。

VMware服务定义防火墙解决方案由AppDefense和NSX Data Center联合实现。AppDefense能够对虚拟机应用的行为进行分析，通过一段时间对虚拟机应用正常行为的学习，服务定义防火墙就可以对虚拟机进行保护，从而进入保护模式。进入保护模式后，凡是与正常行为模式不一样的行为，都可以被判定成为是可疑的、有可能是攻击动作的行为，然后就可以采取一系列的响应，以防止这类行为对用户造成伤害。

因此，服务定义防火墙的首先任务，是要对受保护的服务或者应用有全面的了解，并熟悉它的正常行为，然后再对其进行保护。NSX Data Center可以对每一个虚机都提供一个专门定制的防火墙，这个防火墙是软件实现的，所以它的成本很低。并且这个防火墙是针对每一个虚机度身定制的，所以不用担心新的攻击手段出现。因为任何新的攻击手段出现，总归是要改变它原有的正常行为模式，因此，AppDefense就可以识别出来，AppDefense把识别出来的可疑结果告诉NSX Data Center防火墙，防火墙就可以自动生成规则，把这种可疑的访问行为隔离在虚机外面，起到保护虚机的作用。所以利用服务定义的防火墙，可以为每一个虚机都提供防火墙，对每一个虚机都能够进行保护，从而对数据中心内部起到全面保护的作用。

服务定义防火墙是怎样实现的？

傅纯一简单介绍了VMware服务定义防火墙具体的实现技术：AppDefense通过人工智能、机器学习方法学习虚机上正常应用的行为，之后将学习的结果上传到应用程序验证云（Application Verification Cloud）。由于AppDefense在全球有成百上千家用户，在每家用户都针对不同的应用进行学习，这些学习模式的结果汇总在一起，就使得AppDefense的判断结果更加准确，所以本质上讲，AppDefense是一个SaaS形式的云服务。之后，AppDefense会将学习的汇总结果传至NSX Data Center，NSX Data Center根据这些汇总结果自动生成防火墙的规则，并将这些规则下发，从而实现了在全网针对各种应用可能的恶意行为的防护，也就实现了所谓的Service-defined Firewall。

640?wx_fmt=png

总结来说，本质上，VMware 服务定义防火墙解决方案采用了与传统防火墙完全不同的防火墙策略，它重点关注企业熟悉的资产，而不是详细检查未知的应用程序。傅纯一总结说，VMware服务器定义防火墙属于业界首创，它使得传统被动的防御手段进化成了主动的防御手段，将会对未来未知、可能的各种针对虚拟机平台应用或者服务的攻击手段，都能够提供很好的防护。

服务定义防火墙能带来什么

据悉，VMware服务定义防火墙解决方案可以在裸机、虚拟机和基于容器的应用程序环境中运行，未来还将支持VMware Cloud on AWS、AWS Outposts等混合云环境。企业可将其作为满足内部需求的单一防火墙解决方案。VMware 服务定义防火墙解决方案拥有以下特性：

应用程序验证云：VMware在主机中的位置允许服务定义防火墙通过随时间的变化深入了解应用程序及其成百上千的微服务。该解决方案的应用程序验证云通过使用全球数百万虚拟机的机器智能，构建对应用程序预期的“已知良好”状态的精确映射。一旦对应用程序的已知良好行为建立业经认证的理解，该解决方案就可以为服务定义防火墙解决方案生成支持第7层的自适应安全策略，并可执行完整的状态检查。

免受来自虚机层面的攻击：服务定义防火墙解决方案利用VMware固有能力，在不驻留虚机的情况下检查虚机操作系统和应用程序。这意味着即使恶意攻击者获得了虚机root权限，也无法绕过服务定义防火墙，该解决方案可以检测和阻止网络中的恶意流量。除此之外，还可以在运行时对虚机本身进行自我检查，识别并阻止操作系统或应用程序中的任何恶意行为。这一独特功能相当于一种全新的网络防火墙和主机IPS方法。

分布在软件中：传统的硬件防火墙需要将虚拟环境网络通信导流到硬件设备中进行扫描。这种方法低效且难以扩展，特别是对于具有许多组件或服务的现代应用程序而言，这些组件或服务运行在许多服务器上且经常跨不同的云。完全基于软件的VMware 服务定义防火墙，拥有高度分布式结构，从而能够跨云运行在应用程序所运行的任意位置。这意味着可以一致地执行策略，而无需对跨云环境的流量进行复杂的导流传输。

携手合作伙伴共建安全生态

傅纯一最后总结道，安全是一个非常大的领域，任何一家厂商都不可能单独解决所有安全问题。VMware提供的是一个平台，在VMware平台，所有合作伙伴都可以提供他们自己的安全解决方案，每家厂商都是整个生态里面的重要一环。NSX Data Center、AppDefense也不是封闭的平台，所有的合作伙伴都可以通过公开的接口得到NSX Data Center、AppDefense的数据，从而利用这些数据来打造更加完善的安全解决方案。实际上，像防病毒、入侵检测、入侵防护等都是非常专业的领域，在这些专业的领域，VMware没有去做该方面的解决方案，VMware要做的就是提供一个基础平台，并在这个基础平台上开放接口，然后把所有合作伙伴都接入进来，携手共建一个良性发展的完整安全大生态。

640?wx_fmt=png