戳藍字“CSDN云計算”關注我們哦！

極客頭條：速遞、最新、絕對有料。這里有企業新動、這里有業界要聞，打起十二分精神，緊跟fashion你可以的！

防火墻，這個在安全界“恐龍時代”就存在的產品，相信但凡稍微接觸過網絡安全的人都會知道。按照百度百科上的解釋，防火墻是位于內部網和外部網之間的屏障，它按照系統管理員預先定義好的規則來控制數據包的進出。防火墻是系統的第一道防線，其作用是防止非法用戶的進入。曾幾何時，并稱為網絡安全“老三樣”的防火墻、入侵檢測以及防病毒一度撐起了網絡安全的整個天空。但時過境遷，這款經典的網絡安全組合，在面對日新月異的網絡安全新形勢的情況下，已經漸漸力不從心，逐漸失去了以往“一統安全天下”的能力。特別是隨著網絡邊界的日漸模糊，作為內、外網之間屏障的傳統防火墻，就如同昔日的馬奇諾防線一樣，已將喪失威力。所以，當聽說VMware要推出一款防火墻產品時，老孫心里是蠻驚訝的。帶著這樣的心情，老孫聽起了VMware大中華區高級產品經理傅純一對這款防火墻產品的介紹。

這到底是一款什么樣的防火墻

傅純一介紹說，在今年的RSA?Conference中，VMware做了一系列的重大發布，其中，最主要的就是一款被稱作服務定義防火墻（Service-defined）的產品。所謂Service-defined，簡言之，就是指在虛擬機上為應用或者服務（Service）提供保護。服務定義的防火墻就是為這個應用或者服務量身定制的。

VMware服務定義防火墻解決方案由AppDefense和NSX?Data?Center聯合實現。AppDefense能夠對虛擬機應用的行為進行分析，通過一段時間對虛擬機應用正常行為的學習，服務定義防火墻就可以對虛擬機進行保護，從而進入保護模式。進入保護模式后，凡是與正常行為模式不一樣的行為，都可以被判定成為是可疑的、有可能是攻擊動作的行為，然后就可以采取一系列的響應，以防止這類行為對用戶造成傷害。

因此，服務定義防火墻的首先任務，是要對受保護的服務或者應用有全面的了解，并熟悉它的正常行為，然后再對其進行保護。NSX?Data?Center可以對每一個虛機都提供一個專門定制的防火墻，這個防火墻是軟件實現的，所以它的成本很低。并且這個防火墻是針對每一個虛機度身定制的，所以不用擔心新的攻擊手段出現。因為任何新的攻擊手段出現，總歸是要改變它原有的正常行為模式，因此，AppDefense就可以識別出來，AppDefense把識別出來的可疑結果告訴NSX?Data?Center防火墻，防火墻就可以自動生成規則，把這種可疑的訪問行為隔離在虛機外面，起到保護虛機的作用。所以利用服務定義的防火墻，可以為每一個虛機都提供防火墻，對每一個虛機都能夠進行保護，從而對數據中心內部起到全面保護的作用。

服務定義防火墻是怎樣實現的？

傅純一簡單介紹了VMware服務定義防火墻具體的實現技術：AppDefense通過人工智能、機器學習方法學習虛機上正常應用的行為，之后將學習的結果上傳到應用程序驗證云（Application?Verification?Cloud）。由于AppDefense在全球有成百上千家用戶，在每家用戶都針對不同的應用進行學習，這些學習模式的結果匯總在一起，就使得AppDefense的判斷結果更加準確，所以本質上講，AppDefense是一個SaaS形式的云服務。之后，AppDefense會將學習的匯總結果傳至NSX?Data?Center，NSX?Data?Center根據這些匯總結果自動生成防火墻的規則，并將這些規則下發，從而實現了在全網針對各種應用可能的惡意行為的防護，也就實現了所謂的Service-defined?Firewall。

總結來說，本質上，VMware?服務定義防火墻解決方案采用了與傳統防火墻完全不同的防火墻策略，它重點關注企業熟悉的資產，而不是詳細檢查未知的應用程序。傅純一總結說，VMware服務器定義防火墻屬于業界首創，它使得傳統被動的防御手段進化成了主動的防御手段，將會對未來未知、可能的各種針對虛擬機平臺應用或者服務的攻擊手段，都能夠提供很好的防護。

服務定義防火墻能帶來什么

據悉，VMware服務定義防火墻解決方案可以在裸機、虛擬機和基于容器的應用程序環境中運行，未來還將支持VMware?Cloud?on?AWS、AWS?Outposts等混合云環境。企業可將其作為滿足內部需求的單一防火墻解決方案。VMware?服務定義防火墻解決方案擁有以下特性：

應用程序驗證云：VMware在主機中的位置允許服務定義防火墻通過隨時間的變化深入了解應用程序及其成百上千的微服務。該解決方案的應用程序驗證云通過使用全球數百萬虛擬機的機器智能，構建對應用程序預期的“已知良好”狀態的精確映射。一旦對應用程序的已知良好行為建立業經認證的理解，該解決方案就可以為服務定義防火墻解決方案生成支持第7層的自適應安全策略，并可執行完整的狀態檢查。

免受來自虛機層面的攻擊：服務定義防火墻解決方案利用VMware固有能力，在不駐留虛機的情況下檢查虛機操作系統和應用程序。這意味著即使惡意攻擊者獲得了虛機root權限，也無法繞過服務定義防火墻，該解決方案可以檢測和阻止網絡中的惡意流量。除此之外，還可以在運行時對虛機本身進行自我檢查，識別并阻止操作系統或應用程序中的任何惡意行為。這一獨特功能相當于一種全新的網絡防火墻和主機IPS方法。

分布在軟件中：傳統的硬件防火墻需要將虛擬環境網絡通信導流到硬件設備中進行掃描。這種方法低效且難以擴展，特別是對于具有許多組件或服務的現代應用程序而言，這些組件或服務運行在許多服務器上且經常跨不同的云。完全基于軟件的VMware?服務定義防火墻，擁有高度分布式結構，從而能夠跨云運行在應用程序所運行的任意位置。這意味著可以一致地執行策略，而無需對跨云環境的流量進行復雜的導流傳輸。

攜手合作伙伴共建安全生態

傅純一最后總結道，安全是一個非常大的領域，任何一家廠商都不可能單獨解決所有安全問題。VMware提供的是一個平臺，在VMware平臺，所有合作伙伴都可以提供他們自己的安全解決方案，每家廠商都是整個生態里面的重要一環。NSX?Data?Center、AppDefense也不是封閉的平臺，所有的合作伙伴都可以通過公開的接口得到NSX?Data?Center、AppDefense的數據，從而利用這些數據來打造更加完善的安全解決方案。實際上，像防病毒、入侵檢測、入侵防護等都是非常專業的領域，在這些專業的領域，VMware沒有去做該方面的解決方案，VMware要做的就是提供一個基礎平臺，并在這個基礎平臺上開放接口，然后把所有合作伙伴都接入進來，攜手共建一個良性發展的完整安全大生態。

福利

掃描添加小編微信，備注“姓名+公司職位”，加入【云計算學習交流群】，和志同道合的朋友們共同打卡學習！

推薦閱讀：

• 漫畫：圖的?“最短路徑”?問題?|?技術頭條

• 一張“黑洞”照片需半噸重硬盤？更逆天的操作還有這些……

• Python的10個“秘籍”，這些技術專家全都告訴你了

• 12?歲開始自學?Web?開發，他竟說初學者別搭理大牛？！

• 從?0?到管理?200?人，這位程序員是如何做到的？?|?程序員有話說

• 4000萬假幣流入波場, 發生在凌晨的BTT假幣攻擊事件始末及細節披露

• 馬云再談?996：真正的?996?與被剝削無關
  

真香，朕在看了！

總結

以上是生活随笔為你收集整理的VMware竟然出了一款防火墙的全部內容，希望文章能夠幫你解決所遇到的問題。

如果覺得生活随笔網站內容還不錯，歡迎將生活随笔推薦給好友。