在这个系列的第一章，我讲述了“VMware vShield Zones组件及其工作原理”。接下来我将继续解释如何安装和配置vShield Manager及vShield agents。

　　在开始安装前，我们应该准备好以下几个文档以便随时查阅：vShield Zones注意事项、vShield Zones说明书、快速部署指南和管理员手册。

　　准备工作完成后，请遵循以下步骤开始安装vShield Zones：

　　一、从VMware官网下载ISO installation file文件，大小为759MB。vShield Zones和VMware Date Recovery打包在同一个ISO镜像中。（如果你有vSphere DVD介质安装盘，其中包含vShield Zones，无需下载。）

　　二、然后选择把下载的镜像文件刻录到DVD光盘上或者用虚拟光驱软件加载。安装向导将自动启用，按照向导提示选择vShield Zones安装的相关信息。安装程序将从455MB大小的VMware-vShieldZones.exe文件中解压Open Virtualization Format（OVF）格式的/VMDK文件和PDF文件到您选定的文件夹中。

　　三、解压完成后，可以启用vSphere客户端程序在宿主机系统上创建vShield Manager虚拟机应用。

• 登陆vShpere客户端并且链接到vCenter Server（不要直接链接到ESX或ESXi主机）
• 从顶端菜单栏选择File菜单，然后选择Deploy OVF Template选项
• 选择Deploy From File选项，点击Browse按钮，选择需要解压的目标文件夹路径。vShield Manager样本在vShieldManager-R1.0G68子文件夹中（vShield-R1.0G68文件夹中存放的是vShield agent）
• 选中vShieldManager.ovf文件
• 点击Next创建一个带有8GB虚拟硬盘的虚拟机，此时虚拟机样本的详细信息将显示出来。
• 继续按照提示选择新虚拟机的目标主机、数据存放地点以及目标网络（点击Destination Networks后可以配置相应的参数）
• 点击Finish完成新的vShield Manager虚拟机的创建

（点击图片就能放大）

　　四、然后，配置vShield Manager虚拟机连接的vSwitch。增加一个名为vsmgmt的新端口，如果需要为它分配VLAN ID。这是一个用于被Shield agents识别的特殊端口组，防止安装的vShield Manager虚拟机被移除。完成vShield Manager虚拟机的配置之后，选择network adapter，把network label修改为新创建的vsmgmt。

　　五、启动vShield Manager虚拟机。启动完成后，使用默认的用户名“admin”，密码“default”登陆。一旦登陆后，就进入管理向导界面，选择“setup”运行命令行界面的提示向导来配置网络设置。输入IP地址信息。完成后，选择“y”保存配置。系统将提示退出并重新登录，这个步骤并不是必须的，这时，你可以运行ping vShield Manager来确认网络连接是否正常。完成后选择“quit”退出。

　　六、接下来需要从vShield Agents OVF文件创建一个虚拟机，并且把它保存为一个样本，方便后续vShield Agents的创建。为了完成这步操作，仍然需要使用vSphere Client。

• 选择File/Deploy OVF Template/Browse，在解压的安装文件中选择vShield-R1.0G68子文件夹，选中vShield.ovf 文件。
• 点击Next，可以看到样本的详细信息提示。新的虚拟机将分配5GB的虚拟盘。
• 按照向导步骤选择目标主机和数据存放地址。在network mapping界面，你可以看到多个网络适配器（vsmgmt，被保护的和未被保护的）。
• 无需担心目标网络地址已经改变，选择接受默认配置。
• 完成安装向导后，选择Finish创建vShield Agents虚拟机，虚拟机创建完毕后，暂时不要启动。
• 右键单击虚拟机，选择Template，然后选择Convert to Template。

　　七、现在需要登录vShield Manager完成配置。

• 打开Web浏览器，输入地址https://<vShield Manager IP Address>。将弹出登陆界面
• 用默认用户名“admin”和密码“default”登陆
• 登陆后，在面板右侧Configuration选项下，选择vCenter，输入IP地址和vCenter Server的登录信息，点击Commit按钮登陆以后，面板左侧的目录和你的vCenter Server是一致的，你还可以通过Configuration选项下的链接查看和配置DNS和Date/Time

　　八、现在vShield Manager已经安装和配置完成，接下来需要部署vShield Agents。

• 在左侧面板中选中你要添加保护的ESX主机
• 在面板右侧，选择Install vShield选项
• 选择Configure Install Parameters链接，显示页面中列举了新克隆的vShield Agents虚拟机，IP地址和保护的vSwitch等相关信息。这里可以选择克隆已经存在的vShield Agents或者从之前保存的模板来创建
• 选择新agent虚拟机的数据存放地址，并为它指定唯一的名称
• 选择一个vSwitch作为vShield管理程序接口（vsmgmt），并且输入它的IP地址。在底部从下拉菜单中选择要添加保护的vSwitch。分析结果将显示所有存在的vSwitch并且提供是否可以添加vShiled保护等相关信息。
• 所有信息输入完成后，点击Continue开始安装过程

　　九、下一个页面将显示在安装vSwitch前后变化的示例情况以及安装步骤。点击底部的Install按钮，开始安装，我们可以在Web浏览器中或者通过登录vSphere Client，从创建的任务中跟踪整个安装进程。

　　十、安装完成后，右侧的界面中列举了主机中所有部署了agent的虚拟机名称。如果选中agent并点击VM Discovery选项，可以对虚拟机的扫描进程做配置。扫描进程分析虚拟机的流量并启动端口扫描来识别开放的端口。我们可以选择手工指定IP地址的一次性扫描或者建立周期性（或连续的）扫描计划。

　　访问VM Wall和VM Flow选项

　　所有的安装和配置完成后，我们可以打开VM Flow 和 VM Wall选项来进行流量分析和防火墙规则设置。当你在左侧选择data center, cluster, resource pool 或 virtual machine这些选项时，这些选项会显示在面板右侧。

　　如果点击VM Wall选项，可以看到默认的防火墙规则下，对于任意的源和目标IP地址或源和目标端口都设置为“any”。这时允许所有的访问通过vShield Agents。在你添加了防火墙规则之后，可以发现源和目标的选择并不仅仅针对IP地址设置，同样可以是vCenter Server中的组件，如data center和cluster。你可以通过点击页面顶部的按钮或者直接在前面的VM Flow分析界面中，创建附加的VM Wall规则。

　　流量监视程序（VM Flow）可以在基于data center, cluster, port group, VLAN, 或 virtual machine层面来使用，防护程序（VM Wall）被限制在data center，cluster 和 VLAN层面。在面板左侧，可以对不同的层面设置不同的访问规则，同时可以监控该层的流量分析结果。VM Wall的规制是分级的，data center上设置的规则相比下面的cluster层的规则拥有更高的优先级。

　　如果想达到熟练和正确的配置使用vShield Zones，需要一些时间来逐渐适应。vShield Zones管理员指南提供了一些关于设置和使用VM Wall和VM Flow组件的细节建议。稍后，在这个系列的最后一章中，我将提供一些实用的技巧。