NSX 防火墻的核心功能集是訪問控制，通過 NSX 防火墻可以減小攻擊面。它有兩種形式，一種是上圖左側(cè)的分布式防火墻，采用了分布式的架構(gòu)，上圖右邊是網(wǎng)關(guān)防火墻。大多數(shù)人可能都知道，分布式防火墻本質(zhì)上是一個(gè)透明的 4 層到 7 層的防火墻，它直接應(yīng)用于工作負(fù)載的網(wǎng)絡(luò)接口，并在 hypervisor 的內(nèi)核中運(yùn)行。NSX 分布式防火墻可以實(shí)現(xiàn)虛擬機(jī)、裸金屬服務(wù)器以及容器的安全隔離，實(shí)現(xiàn)一體化的管理，同時(shí)，如果使用分布式防火墻的話，我們只要簡單的把分布式防火墻直接插入到 hypervisor 的內(nèi)核中，而不需要改變物理網(wǎng)絡(luò)的架構(gòu)，同時(shí)還可以基于虛擬機(jī)的屬性，比如虛擬機(jī)的名稱、虛擬機(jī)的標(biāo)記來實(shí)現(xiàn)動(dòng)態(tài)的安全組。

　　其次我們?cè)倏匆幌戮W(wǎng)關(guān)防火墻，網(wǎng)關(guān)防火墻與分布式防火墻不同，分布式防火墻相當(dāng)于透明式的防火墻，而網(wǎng)關(guān)防火墻必須位于網(wǎng)絡(luò)的路徑中，網(wǎng)關(guān)防火墻更多的是用于租戶之間以及南北向的網(wǎng)絡(luò)流量，網(wǎng)關(guān)防火墻通常要部署在 T0 或 T1 的路由器上，T0 或 T1 的路由器要關(guān)聯(lián)到 Edge 上。

　　除了分布式防火墻、網(wǎng)關(guān)防火墻外，NSX 還提供了更高級(jí)的安全威脅檢測(cè)和響應(yīng)能力，它提供了最強(qiáng)的數(shù)據(jù)中心防御能力。

　　分布式的 IDS/IPS，基于最新的以及動(dòng)態(tài)生成特征庫準(zhǔn)確地識(shí)別安全威脅并且提供了對(duì)已知的的攻擊防御能力。

　　網(wǎng)絡(luò)沙箱，它能過全系統(tǒng)仿真沙箱技術(shù)深入的了解應(yīng)用程序的行為，分析檢測(cè)和阻止未知的安全威脅。

　　NTA，網(wǎng)絡(luò)流量分析，它利用了人工智能和以威脅為中心的模型來檢測(cè)網(wǎng)絡(luò)中僅靠特征庫無法檢測(cè)的惡意活動(dòng)，比如說端口掃描等。

　　分布式 IDS/IPS、網(wǎng)絡(luò)沙箱和 NTA 組件都會(huì)產(chǎn)生與單個(gè)主機(jī)相關(guān)的告警，這些告警信息也會(huì)關(guān)聯(lián)到 NDR 引擎，通過這些告警的聚合，為安全分析人員提供一個(gè)高級(jí)的威脅檢測(cè)和響應(yīng)能力。

　　那我們先看一下 NSX 分布式 IDS/IPS。傳統(tǒng)的 IDS/IPS 以及分析的平臺(tái)部署全部采用集中式的部署，而且需要通過流量鏡像的方式把應(yīng)用的流量鏡像到 IDS 上。而 IPS 接到網(wǎng)絡(luò)中，我們還要考慮如果將流量通過路由的方式引到 IPS 設(shè)備上去。另外，傳統(tǒng)的 IDS/IPS 都是采用硬件來部署，一方面由于流量要集中到 IDS 和 IPS，所以 IDS/IPS 可能會(huì)產(chǎn)生性能上的瓶頸，如果要增加性能，就要將現(xiàn)有的 IDS/IPS 替換成能力更強(qiáng)的設(shè)備。由于都是硬件設(shè)備，所以部署這些安全設(shè)備，需要額外的機(jī)房空間、電力以及制冷系統(tǒng)，還要定期地對(duì)這些硬件設(shè)備進(jìn)行巡檢。而 NSX 分布式 IDS/IPS 采用分布式架構(gòu)，直接將 IDS/IPS 應(yīng)用到 hypervisor 層，而且提供了豐富的入侵日志并提供宿源的能力。如下圖所示：

　　

　　上圖是 NSX 分布式 IDS/IPS 威脅事件的可視化界面。在這個(gè)界面上可以顯示所有的攻擊的行為。我們看到，這里有很多的點(diǎn)，點(diǎn)的大小和顏色代表的威脅的嚴(yán)重的程度，如果有的點(diǎn)在不停的閃爍的話，代表在那個(gè)時(shí)間點(diǎn)有攻擊行為發(fā)生。那我們看一下圖的上部，這里邊可以過濾我們要查看的事件，我們可以選擇極高風(fēng)險(xiǎn)、高風(fēng)險(xiǎn)等不同級(jí)別的事件進(jìn)行查看。在入侵細(xì)部分，我們看到了攻擊的日志，我們從這個(gè)圖上可以看到非常詳細(xì)的信息，這些信息包括攻擊的來源，攻擊的目的 IP，以及攻擊的方式，還有攻擊的類型，匹配的特征碼以及這個(gè)攻擊行為影響的虛擬機(jī)等信息，在右下角，我們看到了柱狀圖，柱狀圖的顏色代表了哪些是被檢測(cè)到的攻擊哪些是被阻止的攻擊類型。

　　IDS/IPS 更多的是基于特征庫的安全防護(hù)，多數(shù)為已知的安全威脅，那么對(duì)于那些未知的安全威脅，該如何提供安全防御的能力呢。接下來介紹一下通過全系統(tǒng)仿真沙箱技術(shù)。

　　

　　VMware 的沙箱的特點(diǎn)是它使用了一個(gè)完整的系統(tǒng)仿真分析應(yīng)用，這使我們能夠看到應(yīng)用內(nèi)部的進(jìn)程執(zhí)行情況。而傳統(tǒng)的沙箱只能看到應(yīng)用程序和底層操作系統(tǒng)的調(diào)用。也就是說，傳統(tǒng)的沙箱將應(yīng)用程序看作為一個(gè)黑匣子，黑匣子里邊發(fā)生了什么，我們不知道。而 VMware 的沙箱技術(shù)可以打開這個(gè)黑匣子，看到這個(gè)黑匣子內(nèi)部的一些行為。在上圖中橙色的部分，我們看到應(yīng)用程序正在檢查是否有沙箱的存在，如果檢查到了沙箱的存在，它就會(huì)執(zhí)行指定規(guī)避這個(gè)檢查。通過這種額外的可視性，很明顯我們更容易檢測(cè)到逃逸的行為。通過這個(gè)全系統(tǒng)仿真沙箱，我們對(duì)應(yīng)用程序的行為更加深入地理解，更容易發(fā)現(xiàn)惡意的軟件以及安全風(fēng)險(xiǎn)。

　

　　接下來讓我們來詳細(xì)地看一看 NTA 網(wǎng)絡(luò)流量分析組件。我們?cè)?NTA 中使用了人工智能建立的模型來檢測(cè)惡意的網(wǎng)絡(luò)流量。為檢測(cè)到惡意的網(wǎng)絡(luò)流量，可以通過以下兩個(gè)步驟來去實(shí)現(xiàn)：第一步，所有的網(wǎng)絡(luò)流量使用非監(jiān)督式的機(jī)器學(xué)習(xí)模型識(shí)別網(wǎng)絡(luò)中的異常流量，并且把這些異常的流量與正常的流量區(qū)分開，但這還不夠，因?yàn)椴⒉皇敲恳粋�(gè)異常現(xiàn)象都是一種威脅，在第二步中，我們對(duì)異常的流量使用以威脅為中心的機(jī)器學(xué)習(xí)模型，這些模型允許我們能夠識(shí)別真正的威脅，并且減少誤報(bào)。

　　那么，在這里我們以威脅為中心的機(jī)器學(xué)習(xí)模型使用了監(jiān)督式的機(jī)器學(xué)習(xí)，那如何去訓(xùn)練他們呢？我們?cè)谶@里可以通過沙箱每天分析的數(shù)百萬個(gè)樣本來去訓(xùn)練他們。

　　在整體方案之上，VMware 還提供了集中的策略分析和策略推薦引擎，通過對(duì)惡意的行為分析，提供整體的安全事件響應(yīng)清單。vRNI 和 NSX intelligence 提供了應(yīng)用的拓?fù)浒l(fā)現(xiàn)以及策略的推薦，為安全團(tuán)隊(duì)提供安全行為分析和策略的推薦，簡化多云環(huán)境下的安全運(yùn)維管理。

　　為滿足多云時(shí)代網(wǎng)絡(luò)和安全的需求，NSX 高級(jí)安全威脅和防御平臺(tái)可以為任意類型的工作負(fù)載提供安全防御能力，通過 NSX 防火墻減小攻擊面，通過分布式 IDS/IPS 以及網(wǎng)絡(luò)沙箱對(duì)已知以及未知的惡意行為進(jìn)行檢測(cè)和阻止，實(shí)現(xiàn)了在多云時(shí)代零信任的安全。