VMware NSX Gateway Firewall
راهکار حفاظت یکپارچه و منسجم و گسترش آن در کل محیط سازمانی
فایروال VMware NSX Gateway، یک نوع فایروال نرمافزاری است که از لایه ۲ تا ۷ فعالیت میکند. این فایروال به شما امکان میدهد تا پوشش یکنواخت امنیت شبکه و مدیریت یکپارچه را برای تمام بارهای کاری خود داشته باشید، بدون توجه به اینکه آیا بر روی سرورهای فیزیکی، یا در یک فضای ابری خصوصی یا عمومی قرار دارند یا در کانتینرها اجرا میشوند. وقتی که فایروال NSX Gateway به همراه NSX Distributed Firewall پیادهسازی میشود، قابلیتهای آن توسعه مییابد تا حفاظت یکنواخت را در تمام زیرساخت افزایش دهد.
مزایای کلیدی
- سیاستهای یکسان را در همه جا اعمال کنید: وقتی که فایروال NSX Gateway همراه با NSX Distributed Firewall پیادهسازی میشود، امکان اعمال قوانین یکنواخت امنیتی از لایه ۲ تا ۷ بر روی تمام برنامهها و بارهای کاری وجود دارد. بدون توجه به اینکه این برنامهها در یک فضای ابری خصوصی یا عمومی اجرا میشوند، این فایروال به شما این امکان را میدهد که کنترلهای امنیتی یکسان را بر روی همه برنامهها و بارهای کاری اعمال کنید. در نتیجه اطمینان حاصل میشود که تمام بارهای کاری در هر مکانی که قرار دارند، مشمول همان سیاستهای امنیتی هستند.
- مدیریت یکپارچه: فایروال NSX Gateway از همان کنسول مدیریتی استفاده میکند که NSX Distributed Firewall از آن استفاده میکند. این امر باعث سهولت اعمال سیاستهای یکپارچه در فضای پیرامونی (perimeter)، بین مناطق و درون شبکه سازمانی میشود.
- صرفهجویی در هزینه: این فایروال ضرورتی را برای خرید تجهیزات سختافزاری تخصصی یا قراردادهای مدیریتی مرتبط به وجود نمیآورد، زیرا فایروال NSX Gateway بر روی سختافزار سرورهای موجود اجرا میشود. سهولت کنترل در فایروال Gateway باعث صرفهجویی قابل توجهی در هزینههای عملیاتی میشود.
موارد استفاده
- محافظت از بارهای کاری فیزیکی در فضای ابری خصوصی: صرف نظر از اینکه بارهای کاری شما در کجا هستند، میتوانید سیاستهای امنیتی یکسانی را بدون نیاز به خرید یا نگهداری دستگاههای مختلف برای همه آنها اعمال کنید.
- فایروال فضای ابری خصوصی: فایروالهای وابسته به حالت سیستم را بین چندین منطقه در محیط شرکت مستقر کنید تا امنیت را از شمال، جنوب و شرق و غرب به طور یکپارچه کنید.
- فایروال لبه ابری عمومی: سیاستهای یکپارچه را با پیشگیری از تهدیدهای پیشرفته که تا لبه ابری عمومی گسترش مییابد، اعمال کنید.
کارکرد به عنوان بخشی از راهکار جامع فایروال فضای ابری خصوصی
راهبردهای ابری ترکیبی روز به روز در میان کسب و کارها محبوبتر میشوند، بنابراین استانداردسازی معماریها و رعایت سیاستهای امنیتی یکپارچه و ثابت در همه جا ضروری است. با فایروال VMware NSX Gateway، بارهای فیزیکی موجود در فضاهای ابری خصوصی میتوانند از قابلیتهای پیشرفته پیشگیری از تهدید VMware NSX Distributed Firewall بهرهمند شوند، و رویکرد defense-in-depth را در درگاههای ورودی مناطق امنیتی حساس بدون در نظر گرفتن موقعیت مکانی مجازی، فیزیکی یا کانتینری، ارائه دهند.
فایروال برای رفع نیازهای امروزی
فایروال VMware NSX Gateway، یک فایروال نرمافزاری است فعال در لایههای ۲ تا ۷ است و کارکردهای شبکه خصوصی مجازی (VPN) و ویژگیهای مسیریابی را با ویژگیهای پیشرفته پیشگیری از تهدید مانند تشخیص/جلوگیری از نفوذ (IDS/IPS)، فیلتر URL و شناسایی بدافزار (با استفاده از Sandboxing شبکه و تکنیکهای دیگر) ترکیب میکند.
قابلیت های کلیدی
قابلیتهای شبکه: طیف وسیعی از ویژگیهای مسیریابی ایستا و پویا، مانند IPv4 و IPv6، DNS، DHCP و مدیریت آدرس IP گسترده (IPAM: : IP address management)، توسط فایروال NSX Gateway ارائه میشود.
خدمات اتصال ایمن: فایروال NSX Gateway امکان ارتباط امن همراه با تأخیرات اندک را بین سایتهای پراکنده جغرافیایی امکانپذیر میکند و از خدمات VPN لایه ۲ و لایه ۳ پشتیبانی میکند.
کنترل دسترسی: فایروال NSX Gateway از اجرای پیوسته سیاستهای دسترسی لایه ۲ تا ۷، مانند network address translation (NAT)، کنترلهای مبتنی بر هویت برنامه و هویت کاربر، و فیلترینگ URL پشتیبانی میکند.
کنترل تهدید: ویژگیهای پیشرفته پیشگیری از تهدید در فایروال NSX Gateway برای شناسایی خطرات و توقف حملات پیادهسازی شده است. از جمله این موارد میتوان به IDS/IPS، شناسایی بدافزار همراه با sandboxing شبکه و رمزگشایی کامل امنیت لایه انتقال (TLS: Transport Layer Security) اشاره کرد.
قابلیتهای پلتفرم: فایروال NSX Gateway دارای ویژگیهای پلتفرمی است که کارکردهای مبتنی بر multi-tenant deployments، مانند active-standby برای دسترسپذیری بالا و پشتیبانی بومی برای multi-tenancy را آسانتر میکند.
انعطافپذیری در استقرار: دو راه برای دریافت فایروال NSX Gateway وجود دارد: به عنوان یک ماشین مجازی یا به عنوان یک تصویر ISO که میتواند بر روی یک سرور فیزیکی بدون نیاز به یک هایپروایزر میانی نصب شود. در هر صورت، میتوان ظرفیت فایروال را بدون نیاز به سختافزار خاصی افزایش داد.
امکانات | فایروال NSX | فایروال NSX | فایروال NSX |
کنترل دسترسی L2-L4 | X | X | X |
مسیریابی ایستا و پویا | X | X | X |
L2 و L3 VPN | X | X | X |
کنترل دسترسی مبتنی بر هویت کاربر | X | X | X |
کنترل دسترسی مبتنی بر هویت برنامه | X | X | X |
فیلترینگ URL | X | X | X |
رمزگشایی TLS | X | X | X |
IDS/IPS |
| X | X |
Network sandboxing |
|
| X |
عملکرد فایروال و منابع مورد نیاز
ویژگیهای عملکرد فایروال NSX Gateway با پوششهای مختلفی از منابع در جدول زیر آمده است.
Form Factor | بزرگ (۸ vCPU, 16GB RAM) | بسیار بزرگ (۱۶ vCPU, 64GB RAM) |
توان عملیاتی فایروال (۶۴ کیلوبایت HTTP) | 20Gbps | 24Gbps |
توان عملیاتی IPsec VPN | 13Gbps | 21Gbps |
IDS/IPS (64 کیلوبایت HTTP) | 1.5Gbps | 4.5Gbps |
تشخیص بدافزار (۶۴ کیلوبایت HTTP) | پشتیبانی نمیشود | ۳٫۵Gbps |
دورههای زمانی جدید برحسب ثانیه | ۳۰۶K | 310 K |
حداکثر دورههای زمانی | ۲٫۱ میلیون | ۴٫۲ میلیون |
نتایج عملکرد نمایش داده شده در بالا در شرایط زیر مورد آزمایش قرار گرفت:
- توان عملیاتی فایروال و IPsec VPN با Intel® Xeon® CPU E5-2660 v4 2.00GHz با کارت رابط شبکه پورت ۴۰G اندازهگیری شده است.
- توان عملیاتی فایروال با تراکنشهای ۶۴ کیلوبایتی HTTP اندازهگیری شده است.
- توان عملیاتی IPsec VPN با رمزگذاری AES-128 GCM و بستههای ۱۴۶۲ بایتی اندازهگیری شده است.
- IDS/IPS با inspection depth برابر با ۸KB آزمایش شده است.
شریک توانمند NSX Distributed Firewall
مجموعه راهحلهای امنیتی مختلف باعث ایجاد پیچیدگی در مدیریت و افزایش هزینهها و ریسکها میشود. هدف از ساخت فایروال VMware NSX Gateway افزایش عملکرد VMware NSX Distributed Firewall برای همه بارهای کاری شرکتها، از جمله در مواردی که روی سرورهای فیزیکی کار میکنند، است. تیمهای امنیتی میتوانند با استفاده از این مجموعه از فایروالهای یکپارچه، بدون افزایش هزینهها، عملیات را تسریع بخشند و ریسکها را کاهش دهند.
