云上的高级威胁检测和防御系统 ——NSX分布式IDS/IPS

在这里，我们先介绍一下传统 IDS/IPS 方案的挑战，如下图所示：

从上图中，我们看到传统的 IDS/IPS 方案存在以下几个问题：

第一、传统部署 IDS/IPS 采用集中式部署方式，通常采用硬件部署或虚拟机形式部署，应用的流量要引流至这些集中的 IDS/IPS ，出现发卡弯流量，性能无法满足云环境下的要求，吞吐量受到限制；

第二、集中式部署，在高可靠性的方案中，需要考虑这些设备的冗余的机制，成本和复杂度较高；

第三，在云的环境当中，虚拟机的位置可能会发生变化，如果虚拟机位置发生的变化，可能需要对 IDS/IPS 上的策略进行修改，而 IDS/IPS 无法感知到应用位置的变化。

NSX 分布式 IDS/IPS 功能内置于 NSX 平台当中，它采用了分布式的架构，并且 IDS/IPS 策略内嵌到每台主机的 Hypervisor 内核当中，可以对每一个流经的数据包进行威胁检测，并提供威胁阻止的能力。

NSX 分布式 IDS/IPS 跟传统的 IDS/IPS 有哪些不同？它有哪些优势呢？接下来将跟大家介绍一下 NSX 分布式 IDS/IPS 和传统方式的不同和它的优势。

第一、NSX 分布式 IDS/IPS 全图型化界面。管理员可以通过安全概览界面查看到近期入侵的趋势、攻击类型的分布以及受到安全威胁的虚拟机的 TOP 排名。

第二、NSX 分布式 IDS/IPS 简化网络体系架构和运维。它无需将流量引导到集中的安全设备，可简化网络的设计，并减少网络拥塞情况。借助 NSX 分布式 IDS/IPS 管理界面，可以实现基于属性的策略，运维人员能够进行细粒度的控制。IDS/IPS 策略部署像 DFW 策略部署一样简单，下图是 IDS/IPS 的策略部署。可以将规则配置成“仅检测”模式，也可以配置成“检测和阻止”模式，“仅检测”模式意味着当有入侵行为发生时，仅给出告警，而“检测和阻止”模式意味着当有入侵行为发生时，除了给出告警之外，还做出阻止的行为。

第三、NSX 分布式 IDS/IPS 内置详细入侵行为的日志系统，可以查看实时的入侵事件，并以图型化进行展示。

上图是一个事件的图型化界面，我们可以通过筛选器来显示一段时间内的事件信息，比如24小时、48小时、14天等等。在这个界面的中部，有不同颜色的点，代表了入侵的行为，不同颜色的点代表了不同风险级别的威胁，当点在闪烁的时候，这意味着入侵行为正在发生。在界面的下边，显示了每一个入侵的行为详细信息，这里包括入侵的时间、攻击者的 IP 和攻击目标的 IP，并展示了攻击方向以及攻击的流量，同时也显示的攻击类型、匹配的特征码 ID、协议类型等信息。除了这些信息之外，还可以展示哪些虚拟机受到了安全的威胁以及漏洞的详情。

第四、IDS/IPS 特征码可以自动联网更新，也可以下载后，导入到系统当中。

在众多的特征码中，我们可以根据需要自已选择需要的特征码也可以排除特定的特征码，根据对正在运行的应用的了解，只有相关的威胁签名才会被分发到每个工作负载中进行评估，如下图所示：

第五、虚拟机如果由于某种原因发生了迁移，也不需对 IDS/IPS 策略做出任何的改动。

要使用 IDS/IPS 功能，必须全局启用 IDS/IPS ，可以在特定的主机上启用，也可以在某个集群上来启用，如下图所示：

分布式 IDS/IPS 的配置方法如下：

（1）配置“配置文件”，每一个应用可以采用一个特定的配置文件，在配置文件中可以选择特征码的风险级别以及攻击类型和攻击目标等信息，如下图所示：

（2）配置 IDS/IPS 规则，可以针对特定的源和目标配置 IDS/IPS 规则，应用到特定的对象中，模式可以选择“仅检测”或者“检测和阻止”。如下图所示：