NSX 3.0 发布分布式入侵检测功能

入侵检测

入侵检测是一种积极主动的安全防护技术，它可以对网络传输进行即时监视，在发现可疑传输时发出警报或者采取主动反应措施，已经在网络安全领域得到了较为广泛的应用。传统的入侵检测系统 IDS (Intrusion Detect System) 和入侵保护系统 IPS (Intrusion Protect System) 都是以硬件方式实现的，入侵检测和保护功能集中在一个外部的硬件系统中，受保护的系统需要把网络流量导流到这些外置的 IDPS 系统，才能对网络流量进行检测，这就会导致发卡流量 (Hair-pin Traffic)。

除了发卡流量，传统的集中式硬件入侵检测和保护系统还存在着以下问题：

安全检测模型和粒度不够灵活

IDS 硬件的位置固定，在高可靠方案中需要配多套冗余设备，当虚机迁移后有可能需要修改网络配置

无法感知受保护应用的类型以提供有针对性的保护

NSX 3.0 在分布式防火墙中增加了入侵检测和入侵保护功能，利用软件来实现 IDS/IPS 的功能，具有以下特点:

分布式的弹性架构，灵活应对性能压力

为应用对供针对性检测，效率和准确性更高

支持虚机迁移

易于部署，易于使用

01

分布式的弹性架构，灵活应对性能压力

NSX 采用分布式的架构来提供入侵检测和入侵保护功能，可以理解为 NSX 分布式防火墙增加了 IDS 和 IPS 的功能，所以它能够对每个虚机提供安全检测和保护。分布式防火墙位于每一台服务器上，访问虚机的网络流量可以就近由分布式防火墙来处器，不再需要把流量导向到集中式的 IDS/IPS 设备，彻底消除了发夹式流量。

传统的硬件 IDS/IPS 系统，由于处理能力的限制，当网络流量较高时，只能选择性地只对部分数据包进行检测，容易造成漏判。分布式的架构带来了处理性能上的弹性，当网络流量超出现有的处理能力时，可以利用空闲的服务器进行横向扩容 (scale out)，从而灵活满足业务变化的需求。

02

为应用对供针对性检测，效率和准确性更高

如果您曾经管理过防火墙，那么您就会知道，随着时间的流逝，防火墙的规则会迅速增长，可以轻松地达到几千或上万条规则，甚至更多。在传统的防火墙模型中，我们必须始终针对所有数据包运行所有防火墙规则，这会给防火墙的处理能力带来很大的压力。对于入侵检测，也是同样的道理，针对网络数据包需要应用一大堆入侵模式进行分析检查。

NSX  在这方面实现了创新，它给我们带来了更加智能的规则应用和检测粒度。由于 NSX 是在 hypervisor 内核中实现的，使得它对于虚机中运行的应用和服务有着更加深入的理解，它知道 Web 层、应用层和数据库层之间的区别。因此，我们只需要应用适用于工作负载的那些规则，Web 层只需要检测 Web 相关的规则，应用层和数据库层也是如此，这大大减少了每一台虚机上应用的规则数量。NSX 从本质上知道 Apache 和 Tomcat 之间的区别，因此仅将适当的 IDS/IPS 签名应用于对应虚机，客户将看到更少的误报，在显著提高吞吐量的同时也提高了检测的准确性。NSX 的这种工作机制是传统的入侵检测和保护技术无法相提并论的，在效率和灵活性上有着很大的优势，这是传统的硬件系统与软件定义解决方案之间的主要区别。

03

支持虚机迁移

在虚拟化的云环境中，NSX 对于虚机的保护能力可以随着虚机迁移，实际上针对虚机的防火墙规则和 IDS/IPS 规则都是一些全局性的设置，虚机迁移到一台新的服务器上后这些规则会马上生效。传统的硬件方案要实现这种能力需要配置多套硬件，并且需要用手工或脚本来同步多台设备之间的配置。在 NSX 3.0 中也加入了联邦 (Federation) 功能来把多个数据中心的 NSX 虚拟网络整合成一个整体，这样安全策略和规则可以跨数据中心生效，这种能力更是硬件方案无法实现的。

04

易于部署，易于使用

传统的防火墙和 IDS/IPS 设备价格昂贵、难以管理、容量受限，并且通常缺乏解决现代数据中心设计和应用模式的关键功能。NSX 的防火墙和 IDS / IPS 部署模型会随着每个工作负载消耗或释放容量而线性扩展，充分利用数据中心中所有计算资源，并且不再需要专用设备来束缚流量并加剧东西向网络的拥塞。对于管理员来说，网络、防火墙和 IDS/IPS 规则只需要定义一次就可以到处使用。这些规则是附加到虚机上的，当创建新的工作负载时，就会自动应用正确的规则；当工作负载退役时，规则会自动失效；而当工作负载移动时，规则会随之迁移并保持状态。

这些融合的操作使安全策略、合规性管理变得更加容易，并且大大简化了整体的安全体系结构。在现代应用环境中，容器 Pod 工作负载甚至是动态生成和消除的，可能有成千上万个虚机对象需要安全保护，依靠传统的硬件防火墙和 IDS/IPS 来保护这些应用是不可相像的，只有软件定义全自动解决方案才能胜任新一代容器应用的安全保护。