虚拟机营养大数据nfs服务课件.ppt

1、1 1 任务1 安装云格虚拟机安全防护平台2任务2 配置虚拟机保护3任务3 虚拟机迁移保护2【学习目标】【任务导入】【知识准备】【任务实施】3 知识目标了解虚拟机运行的安全风险理解数据中心内部虚拟机安全解决方案技能目标掌握虚拟机防护平台安装4 对于传统的数据中心安全架构带来三方面的挑战：（1）云平台内部流量不可见；（2）虚拟机和虚拟机之间缺乏安全隔离；（3）云安全对云平台弹性扩展、动态迁移的适应。5 山石网科公司推出了一套云格虚拟化防护解决方案。山石云格通过专利引流技术、虚拟机微隔离及可视化技术，能够为用户提供全方位的云安全服务，包括流量及应用可视化，虚拟机之间威胁检测与隔离，网络攻击审计与溯

2、源等。6 云格是一款软件产品，其安全服务的管理平面、控制平面、业务平面采用分部式设计，由 vSOM、vSCM、vSSM 三部分组成。（1）vSOM：虚拟安全管理模块(virtual security orchestration module)为管理平面。（2）vSCM：虚拟安全控制模块(virtual security control module)为控制平面。（3）vSSM：虚拟安全业务模块(virtual security service module)是业务平面。7 云格在每个物理机上部署vSSM虚拟板卡，动态添加不同粒度（主机，端口组，虚拟机）的资源保护技术，提供云资源池虚拟机之间东西

3、流量的安全控制，实现无缝的安全模块故障切换功能，为数据中心云资源池提供更有效的安全保护。8 （1）实时流量深度可视 （2）阻止攻击横向蔓延 （3）云环境适应性 （4）降低部署及运维成本9 实训任务：安装云格虚拟机安全防护平台。10 实训环境：11 实训步骤：步骤1：安装vSOM步骤2:登录vSOM虚拟机，并配置vSOM虚拟机的管理IP步骤3.:登录vSOM的WebUI界面，安装vSCM虚拟机和vSSM虚拟机12【学习目标】【任务导入】【知识准备】【任务实施】13 知识目标理解虚拟化防护的工作原理了解云格保护部署模式了解云格保护对象技能目标掌握添加保护对象的配置掌握安全策略配置掌握攻击防护配置1

4、4 对于云环境，虽然外部可能部署入侵防御设施，但可能存在这样的情况，某虚拟机由于弱口令之类的漏洞被远程控制，然后黑客以此虚拟机为跳板，再对其它虚拟机进行漏洞扫描和利用入侵，DoS攻击会产生大量的会话，可能通过云管理平台发现，然而从内部发起的漏洞入侵的过程在网络层面上与正常访问无异，无法被发现，因此需要识控的方案。云格以虚拟机的形式部署，通过专利引流技术实现虚拟机微隔离，为用户提供全方位的云安全服务。15 旁路部署 透明串接 16 旁路部署模式实现原理 旁路前流向示意图旁路后流向示意图17 透明串接模式实现原理 保护前流向示意图保护后流向示意图18 保护对象类型有：1.虚拟机：指定虚拟机 2.网

5、络：所连接标准交换机、分布式交换机的虚拟机 19 安全策略规则：策略规则分为两部分：过滤条件和动作行为。过滤条件包括流量的源安全域/源地址、目的安全域/目的地址、服务和应用类型、角色用户、时间表等；动作行为包括允许（Permit）、拒绝（Deny）两个操作，系统缺省的操作是拒绝所有流量。策略匹配顺序是从列表由上至下（不是按照ID号大小匹配）根据流量的过滤条件进行匹配，系统会对流量按照找到的第一条与过滤条件相匹配的策略规则进行处理。20 对象模块包括地址簿、服务簿、应用簿、时间表、监控对象等21 云格提供基于域或者端口组的攻击防护功能。22 实训任务：1.配置虚拟机保护 2.配置FLOOD攻击防

6、护23 实训环境：24 实训步骤：步骤1：查看kali Linux渗透测试虚拟机和Windows Server 2008虚拟机 的连通性。步骤2.：保护Windows Server 2008虚拟机 步骤3.：添加策略，允许kali Linux渗透测试虚拟机和Win2008虚拟机 连通 步骤4：配置Huge-ICMP大包攻击 步骤5：配置SYN-flood攻击25【学习目标】【任务导入】【知识准备】【任务实施】26 知识目标了解虚拟化迁移的工作原理技能目标配置被保护虚拟机的迁移27 在传统数据中心里，为服务器提供安全防护的防火墙等设备，都是基于安全策略，针对具体服务器做好了固定的配置。而在虚拟化

7、的数据中心里，出于负载均衡、资源动态调整、高可用性、服务器硬件维护甚至是节约电源的目的，虚拟机会在数据中心内手工或者动态地迁移，即虚拟机从一台物理服务器迁移到另一台物理服务器，此时外部防火墙无法感知虚拟机的位置变化，因此针对具体应用的安全策略无法跟随，这又导致的新的安全漏洞。28 云格虚拟化安全防护解决方案。所有的云格虚拟机共同组成了一个虚拟设备，一条策略配置就能通过控制平面推送到所有的虚拟机。例如一个租户的虚拟机运行在一个机架里，它的流量被这个机架上的vSSM虚拟机所保护，后来这个虚拟机迁移到另一个不同的机架上，它的流量就被这个机架上的vSSM虚拟机所保护了。因为防火墙策略和防火墙状态没变，

8、租户的业务就不会有任何中断。29 通过 VMware vMotion，可以：在零停机、用户毫无察觉的情况下执行实时迁移。持续地自动优化资源池中的虚拟机。在无需安排停机、不中断业务运营的情况下执行硬件维护。主动将虚拟机从发生故障或性能不佳的服务器中移出。30 vMotion 迁移会在按照以下三个阶段进行：（1）当请求通过vMotion 迁移时，vCenter Server虚拟中心服务器通过其当前主机验证现有虚拟机是否处于稳定状况。（2）虚拟机状况信息（内存、寄存器和网络连接）将复制到目标主机。（3）虚拟机将恢复其新主机上的活动。31 要成功使用vMotion，请确保已在以下每个要求中正确地配置主机：必须针对vMotion 正确许可每台主机。每台主机必须满足vMotion 的共享存储器需求。每台主机必须满足vMotion 的网络要求。32 VM1虚拟机迁移前：33 VM1虚拟机迁移后：34 实训任务：1.安装FreeNAS共享存储 2.配置被保护虚拟机的迁移35 实训环境：36 实训步骤：步骤1.：创建虚拟机步骤2：FreeNAS安装步骤3：FreeNAS基础配置步骤4：FreeNAS GUI配置步骤5：在ESXi主机上添加NFS共享存储步骤6：vMotion网络配置启用vMotion步骤7：vMotion网络配置启用vMotion本章结束！