“数据中心安全保护，最常见的做法就是在数据中心网络入口设置防火墙，把来自于互联网的各种可能攻击挡在外面。但是如果攻击者已经通过某种手段进入到内网，而内网各设备之间并没有防火墙，攻击者一旦进入就可以任意妄为。所以传统的边界防火墙，只能防从外到内的南北向的流量，但是不能防止内部设备之间的东西向的流量。NSX Data Center分布式防火墙在那个时期就很好地解决了这一问题。”VMware大中华区高级产品经理傅纯一这样谈分布式防火墙的作用。

不过，随着企业竞相实施数字化转型计划，却让他们面临着有利于恶意攻击者的复杂环境。所以VMware认为，整个行业需要由恶意威胁规避向善意安全保障模式转型，关注应用程序而非基础架构。基于此，VMware于近日发布了服务定义防火墙（Service-defined Firewall）。

“企业通常防御网络恶意攻击的做法都是先有病毒特征库再有防御机制。但是今天，VMware提出了另外一种思路——我们要保护应用或服务。服务定义防火墙，由AppDefense和NSX Data Center联合起来实现。AppDefense能够对虚机和应用的正常行为进行学习和分析，从而掌握对应用程序的已知良好行为，再与NSX Data Center防火墙相结合进入保护模式。”傅纯一这样解释服务定义防火墙。

“任何攻击手段只要改变了原有模式，AppDefense就会把识别出来的可疑结果通知NSX Data Center防火墙，从而自动生成规则，把可疑的访问行为隔离在虚机之外，起到保护虚机的作用。”傅纯一进一步补充说。

VMware 服务定义防火墙解决方案采用完全不同的防火墙策略，关注企业熟悉的资产，而不是详细检查未知的应用程序。该解决方案可以在裸机、虚拟机和基于容器的应用程序环境中运行，未来还将支持VMware Cloud on AWS、AWS Outposts等混合云环境。企业可将其作为满足内部需求的单一防火墙解决方案。

也就是说，“服务定义防火墙”是通过一种全新的安全方法帮助企业转攻为守，这种安全方法侧重于应用程序而非基础架构，并缩小攻击面而非追逐威胁。VMware认为安全是基础架构的固有部分，这种内部防火墙的创新方式可以缩小本地与云环境的攻击面。

VMware 服务定义防火墙解决方案的三大特性包括：
        一、应用程序验证云：VMware在主机中的位置允许服务定义防火墙通过随时间的变化深入了解应用程序及其成百上千的微服务。该解决方案的应用程序验证云通过使用全球数百万虚拟机的机器智能，构建对应用程序预期的“已知良好”状态的精确映射。一旦对应用程序的已知良好行为建立业经认证的理解，该解决方案就可以为服务定义防火墙解决方案生成支持第7层的自适应安全策略，并可执行完整的状态检查。
 
       二、免受来自虚机层面的攻击：服务定义防火墙解决方案利用VMware固有能力，在不驻留虚机的情况下检查虚机操作系统和应用程序。这意味着即使恶意攻击者获得了虚机root权限，也无法绕过服务定义防火墙，该解决方案可以检测和阻止网络中的恶意流量。
除此之外，还可以在运行时对虚机本身进行自我检查，识别并阻止操作系统或应用程序中的任何恶意行为。这一独特功能相当于一种全新的网络防火墙和主机IPS方法。

        三、分布在软件中：传统的硬件防火墙需要将虚拟环境网络通信导流到硬件设备中进行扫描。这种方法低效且难以扩展，特别是对于具有许多组件或服务的现代应用程序而言，这些组件或服务运行在许多服务器上且经常跨不同的云。完全基于软件的VMware 服务定义防火墙，拥有高度分布式结构，从而能够跨云运行在应用程序所运行的任意位置。这意味着可以一致地执行策略，而无需对跨云环境的流量进行复杂的导流传输。

        新的安全问题总是层出不穷，为了验证VMware服务定义防火墙的有效性，VMware与帮助企业衡量、管理和提高网络安全有效性的领导者Verodin进行合作。VMware利用Verodin的安全检测平台（Security Instrumentation Platform，SIP）来验证VMware服务定义防火墙是否能够有效识别、阻止已知或未知威胁。VMware 服务定义防火墙在检测和预防两种运行模式中均成功探测或阻止了Verodin测试序列中使用的100%恶意攻击。

责任编辑：李丽