惡意IP位址 資訊安全 Internet安全 微分段防火牆

自動更新官方警示IP清單 海量有害位址輕鬆過濾管理

NSX微分段防火牆絕配 惡意位址阻擋功能上線

2023-07-25
本文將說明並簡單展示VMware NSX 4.0內的新功能「惡意IP位址阻擋(Malicious IP Filtering)」,然後介紹了使用惡意位址阻擋功能的三個相關需求條件,包括至少NSX 4.0以上產品版本、須提供與Internet上NTICS雲服務連線,以及需要購買訂閱型態授權。

藉由不斷地精進,VMware NSX由4.0版開始提供一個安全新功能「惡意IP位址阻擋(Malicious IP Filtering)」。NSX能夠定期自動更新Internet上的惡意位址清單,並且直接於分散式防火牆進行需求的防禦。由於這些惡意位址清單是由VMware安全專家透過Internet安全資訊及開放名譽資料庫進行整理與即時更新,因此能協助企業就來自Internet的威脅,或內部已被感染機器要往外部駭客進行連線等行為,進行快速且自動的保護。如果已經在使用微分段防火牆,這應該是一個有吸引力的新功能,因此本文想簡單進行介紹。

Malicious IP Filtering簡介

當安裝或升級VMware NSX到4.0版以上,並配置適合的授權後,可以在Security - Distributed Firewall - ACTIONS - General Settings - Malicious IP Feeds看到如圖1所示的畫面。

圖1  惡意IP位址阻擋(Malicious IP Filtering)設定頁面。

如果是全新安裝,預設就會將Auto Update Malicious IPs選項打開。若NSX是由3.X版升級上來,那麼這裡的配置將是關閉,必須手動啟用。當Auto Update Malicious IPs選項打開後,NSX Manager會自動每12小時由雲端更新最新的Internet惡意位址列表,管理者也可以由下方的〔DOWNLOAD LATEST FEED〕按鈕來手動更新。

下載後的Internet惡意位址會放置在如圖2所示的DefaultMaliciousIpGroup群組,這是一個特別為此功能設計,僅存放惡意IP位址的群組。原本在NSX限制中,一個純IP位址群組僅能放置4,000個IP位址或網段,這對要存放所有Internet惡意位址是遠遠不夠的。DefaultMaliciousIpGroup群組特別為此需求進行修改,可存放大量IP位址,而此群組當然也可以使用於分散式防火牆規則。

圖2  找到DefaultMaliciousIpGroup群組。

在Security - Distributed Firewall - Category Specific Rules - INFRASTRUCTURE工作表內,會看到有自動預設設定的兩條規則,如圖3所示,任何由這個Internet惡意位址群組來,或是要連往這些惡意位址的連線,預設都是Drop。

圖3  出現自動預設設定的兩條規則。

如同標準的防火牆操作,上述兩條規則也可以依據自身需求進行修正,例如將Action由Drop改為Reject、要不要進行日誌記錄等。為了展示方便,這裡將上述規則改為Reject,再從一台內部的虛機CRM-Web-01來ping/ssh不同的Internet IP位址,如圖4所示。

圖4  從一台內部虛機CRM-Web-01來ping/ssh不同的Internet IP位址。

可以發現,這台CRM-Web-01虛機能夠正常地ping到168.95.1.1、8.8.8.8這些好的位址,但對於63.183.141.17、68.183.140.223等惡意位址,則直接在防火牆被Reject。

可以在以下兩個介面中看到有哪些惡意位址被連線以及相關的虛機。首先是在Security - Security Overview - Threat Event Monitoring - Malicious IPs,在圖5中可以看到有被阻止的惡意IP位址(前面所測試的63.183.141.17、68.183.140.223),還有受影響的虛機(CRM-Web-01)。同時,也描述這些位址被阻擋的原因(Phishing釣魚網站)。

圖5  在Security - Security Overview - Threat Event Monitoring - Malicious Ips介面中查看有哪些惡意位址被連線。

另外,在Security - Threat Event Monitoring - Filtering and Analysis - Malicious IPs內也可以看到更完整的連線資訊。圖6的重點是除了可以看到相關惡意IP連線資訊以及對應的虛機,還能夠將相關的連線選擇起來,並且透過〔ADD AS EXCEPTION〕按鈕特別建立例外群組。例如,如果為了特別的安全測試需求,要允許機器可以連線到外部的某些惡意IP位址,但不想在防火牆規則把所有惡意位址都開放,就可以在這裡建立例外清單。

圖6  在Security - Threat Event Monitoring - Filtering and Analysis - Malicious Ips介面檢視更完整的連線資訊。

至此,已經就惡意IP位址阻擋這個新功能的運作與相關作業畫面簡單進行說明。但在使用此項功能時有什麼前提呢?接著,就運作惡意IP位址阻擋需求的NSX版本、架構及授權三方面進行說明。

VMware NSX必須是4.0之後的產品版本

此功能是在NSX 4.0版後提供(本文寫作時最新版本為4.1.0),用戶可以透過安裝或是升級到NSX 4.0後使用(圖7)。在NSX全新安裝(Greenfield)時,惡意位址阻擋功能預設為開啟且直接進行保護;而在升級現有環境(Brownfield)時,此功能預設是關閉,需要手動啟用。

圖7  VMware NSX必須是4.0之後的產品版本,才能使用此功能。

要特別注意的是,既然這個功能一定得使用NSX 4.0版,也提醒4.0版只能運作在vSphere 7之後。如果現有生產環境還停留在vSphere 6.5/6.7,在進行NSX相關升級時,也請務必考慮做整個虛擬化環境的升級。

部署環境必須能夠透過Internet或Proxy連線到VMware NTICS雲服務

如果在VMware NSX相關文件看到NTICS這個縮寫,全文是NSX Threat Intelligence Cloud Service,也就是由NSX安全專家團隊維護,讓客戶環境中的NSX Manager可下載包含IDPS特徵值,以及這裡的Internet惡意位址清單的服務。

如圖8所示,當NSX Manager要能連到NTICS服務時,必須達到以下的要求:

圖8  讓NSX Manager能夠連到NTICS服務。

‧企業需要開通由NSX Manager往api.nsx-sec-prod.com以及*.amazonaws.com的TCP 443埠(Port)連線。

‧可選擇透過Proxy提供連線。

上面的連線需求與部署NSX IDPS的要求完全相同,不需要額外開通其他的連線通道。但一個很大的差異是,雖然麻煩,但NSX IDPS的特徵碼可以透過手動下載(藉由Restful-API),然後再匯入到與Internet隔絕(Air-Gap)的環境內。但Malicious IP Filtering的位址清單資料不能手動下載,也就是上面所述的防火牆或Proxy開通作業一定要配置。但這裡的要求也很合理,如果真的是Air-Gap的環境,其實也完全不需要擔心有任何來自或連往Internet的連線。

當上面連線建立,NSX Manager會自動每12小時往NTICS進行詢問,是否有最新的惡意位址清單,並於需要時進行下載。

NSX必須是採用訂閱型授權

因為惡意位址阻擋功能與IDPS這些進階安全功能一樣,必須由專家團隊隨時進行清單更新與維護,所以這個功能僅包含在「訂閱型態」(Subscription-Based)的授權內,而不包含在基礎「賣斷型態」(Perpetual-Based)的授權。也就是說,如果企業僅是用標準NSX By-CPU的賣斷方式購買,無論是採購Professional、Advanced或Enterprise Plus授權,都沒有提供這項功能。

要取得惡意位址阻擋功能,可以透過下列方式之一:

1. 採用訂閱方式購買NSX的Professional、Advanced、Enterprise Plus授權。

2. 購買NSX Distributed Firewall授權。這個授權僅包含安全功能(不包含網路功能),也僅能透過訂閱方式取得。無論是最基本的NSX Distributed Firewall,或第二層的NSX Distributed Firewall with Threat Prevention(包含IDPS功能),或是最高等級的NSX Distributed Firewall with Advanced Threat Prevention(再包含惡意軟體阻擋、網路流分析、網路安全威脅儀表板等功能)內,都包含惡意位址阻擋機制。

3. 若客戶現有環境已經是賣斷的NSX Professional、Advanced、Enterprise Plus授權,可透過購買NSX Distributed Firewall with Threat Prevention、NSX Distributed Firewall with Advanced Threat Prevention的Add-on訂閱授權,取得惡意位址阻擋機制。

如果想查詢特定NSX功能是在哪個版本內有支援,可以直接連結至「https://docs.vmware.com/en/VMware-NSX/4.0/nsx-feature-and-edition-guide/GUID-1D808019-7BCC-4A47-B8CA-BC0993E36EBF.html」網頁進行查詢,如圖9所示。

圖9  查詢特定NSX功能在哪個版本有提供支援。

結語

本文先說明並簡單展示了NSX 4.0內的新功能「Malicious IP Filtering」,相信大家看了應該也可感受到這邊在資料中心對應Internet防護上的進一步強化。接著,介紹了使用惡意位址阻擋功能的三個相關需求條件:至少NSX 4.0以上產品版本、須提供與Internet上NTICS雲服務連線,以及需要購買訂閱型態授權。

<本文作者:饒康立,VMware資深技術顧問,主要負責VMware NSX產品線,目前致力於網路虛擬化、軟體定義網路、微分段安全防護技術,以及新應用遞送方案的介紹與推廣。>


追蹤我們Featrue us

本站使用cookie及相關技術分析來改善使用者體驗。瞭解更多

我知道了!