VShield是VMware的安全产品套件，旨在对ESX和ESXi提供内置的保护。

　　第一款安全产品是vShield Zones,它是vSphere初期发行版的一部分，提供了基本的虚拟网络安全。从那时起，VMware对vShield Zones进行了升级，增加了如下安全组件：

• vShield Manager，用于对vShield进行集中管理；
• vShield App，提供额外的虚拟网络安全；
• vShield Edge，对孤立的虚拟机提供安全和网关服务；以及
• vShield Endpoint，对客户操作系统提供防病毒保护，只占用很少的资源。

　　vShield 4.1套件支持VMsafe API，这意味着你不再需要内联运行的vShield代理虚拟机来保护孤立的虚拟交换机之上的虚拟机。除了在虚拟交换机级别提供保护，vShield现在能够在虚拟网卡级别提供保护。

　　新的产品线令人印象深刻，但也更加复杂，理解每个产品以及它们之间的关联关系可能有些困难。在Vshield系列文章中的这一部分，TechTarget中国特约专家Eric Siebert探讨vShield Manager、vShield Zones 以及vShield App。

　　VShield Manager

　　VShield Manager作为一个虚拟设备部署，包括了部署在每个主机上的vShield代理。VShield Manager管理vCenter Server整个基础架构以及vShield组件。

　　VShield Manager支持高可用性以及分布式资源调度，因此它可以在主机间迁移。一旦部署完成，可以通过Web界面、vCenter Server插件、命令行，管理vShield Manager，借助REST API，甚至可以通过脚本管理vShield Manager。

　　REST API使用安全的HTTP请求执行远程过程调用，通过vShield Manager创建，修改或者删除vShield内的对象。REST API同样可以帮助自动化部署vShield。

　　VShield Zones

　　VShield Zones对虚拟机内部和外部网络流量提供基本的虚拟网络防火墙。它作为一个可加载的内核模块和虚拟设备部署在主机上。

　　VShield Zones基于可定义的策略，作为应用层监控虚拟机流量防火墙。基于标准开放系统互联模型，可以定义两种类型的规则：第4层（传输层）规则以及第2层和第3层（数据链路层和网络层）规则。第4层规则可以在数据中心对象、集群对象或者端口组对象上配置。另一方面，第2层和第3层规则只能在数据中心对象上配置。

　　VShield Zones是一个基于IP的，有状态的防火墙，也是一个应用层的网关。第4层防火墙规则基于5个元素序列（5元组）定义和执行：

• 源IP地址；
• 目的IP地址；
• 源端口；
• 目的端口；和
• 协议（TCP/UDP）。

　　同时，可以配置更广泛的目标应用程序协议。防火墙规则按照自上而下的顺序强制执行。可以把防火墙规则看作一个电子表格清单。一旦防火墙检测到与一个规则相匹配的流量，就停下来使用这个规则。即使在下面的列表中存在更匹配的规则，防火墙仍会忽略。

　　VShield App

　　实际上VShield App不是一个单独的产品，使用升级许可密钥后，vShield Zones变成了vShield App。VShield App提供额外的特性以及加强的保护，包括：

• 检测虚拟机之间的通信，获取整个虚拟基础架构正在使用的详细的应用程序和协议流量，流量监控输出定义虚拟机正在和哪个应用程序交换数据。监控到的数据包括会话，数据包，以及每个会话传输的位。会话详情包括会话的来源，目的地以及流向，应用程序以及正在被使用的端口。会话详情可以被用来创建应用程序防火墙（vShield App防火墙）的允许或拒绝规则。
• 安全组可以被用来把相关的虚拟机按照虚拟网卡归为一组。安全组定义好之后，可以被添加为防火墙的一个保护规则。
• SpoofGuard授权VMware Tools记录的IP地址，如果需要，可以修改这些IP地址以预防电子欺骗。SpoofGuard内在地信任VMX 文件和vSphere SDK收集的虚拟机MAC地址。SpoofGuard独立于应用防火墙规则单独运行。

　　一旦升级到vShield App,管理标签上的“区域防火墙”链接将变更为“应用防火墙”。“安全组”，“SpoofGuard”以及“流量监控”链接也将被激活。

　　vShield系列文章的第二部分将讨论vShield Endpoint，vShield Edge, 以及vShield许可，请继续关注。