NSX微分段防火牆絕配　惡意位址阻擋功能上線

藉由不斷地精進，VMware NSX由4.0版開始提供一個安全新功能「惡意IP位址阻擋（Malicious IP Filtering）」。NSX能夠定期自動更新Internet上的惡意位址清單，並且直接於分散式防火牆進行需求的防禦。由於這些惡意位址清單是由VMware安全專家透過Internet安全資訊及開放名譽資料庫進行整理與即時更新，因此能協助企業就來自Internet的威脅，或內部已被感染機器要往外部駭客進行連線等行為，進行快速且自動的保護。如果已經在使用微分段防火牆，這應該是一個有吸引力的新功能，因此本文想簡單進行介紹。

Malicious IP Filtering簡介

當安裝或升級VMware NSX到4.0版以上，並配置適合的授權後，可以在Security - Distributed Firewall - ACTIONS - General Settings - Malicious IP Feeds看到如圖1所示的畫面。

如果是全新安裝，預設就會將Auto Update Malicious IPs選項打開。若NSX是由3.X版升級上來，那麼這裡的配置將是關閉，必須手動啟用。當Auto Update Malicious IPs選項打開後，NSX Manager會自動每12小時由雲端更新最新的Internet惡意位址列表，管理者也可以由下方的〔DOWNLOAD LATEST FEED〕按鈕來手動更新。

下載後的Internet惡意位址會放置在如圖2所示的DefaultMaliciousIpGroup群組，這是一個特別為此功能設計，僅存放惡意IP位址的群組。原本在NSX限制中，一個純IP位址群組僅能放置4,000個IP位址或網段，這對要存放所有Internet惡意位址是遠遠不夠的。DefaultMaliciousIpGroup群組特別為此需求進行修改，可存放大量IP位址，而此群組當然也可以使用於分散式防火牆規則。

在Security - Distributed Firewall - Category Specific Rules - INFRASTRUCTURE工作表內，會看到有自動預設設定的兩條規則，如圖3所示，任何由這個Internet惡意位址群組來，或是要連往這些惡意位址的連線，預設都是Drop。

如同標準的防火牆操作，上述兩條規則也可以依據自身需求進行修正，例如將Action由Drop改為Reject、要不要進行日誌記錄等。為了展示方便，這裡將上述規則改為Reject，再從一台內部的虛機CRM-Web-01來ping/ssh不同的Internet IP位址，如圖4所示。

可以發現，這台CRM-Web-01虛機能夠正常地ping到168.95.1.1、8.8.8.8這些好的位址，但對於63.183.141.17、68.183.140.223等惡意位址，則直接在防火牆被Reject。

可以在以下兩個介面中看到有哪些惡意位址被連線以及相關的虛機。首先是在Security - Security Overview - Threat Event Monitoring - Malicious IPs，在圖5中可以看到有被阻止的惡意IP位址（前面所測試的63.183.141.17、68.183.140.223），還有受影響的虛機（CRM-Web-01）。同時，也描述這些位址被阻擋的原因（Phishing釣魚網站）。

另外，在Security - Threat Event Monitoring - Filtering and Analysis - Malicious IPs內也可以看到更完整的連線資訊。圖6的重點是除了可以看到相關惡意IP連線資訊以及對應的虛機，還能夠將相關的連線選擇起來，並且透過〔ADD AS EXCEPTION〕按鈕特別建立例外群組。例如，如果為了特別的安全測試需求，要允許機器可以連線到外部的某些惡意IP位址，但不想在防火牆規則把所有惡意位址都開放，就可以在這裡建立例外清單。

至此，已經就惡意IP位址阻擋這個新功能的運作與相關作業畫面簡單進行說明。但在使用此項功能時有什麼前提呢？接著，就運作惡意IP位址阻擋需求的NSX版本、架構及授權三方面進行說明。

VMware NSX必須是4.0之後的產品版本

此功能是在NSX 4.0版後提供（本文寫作時最新版本為4.1.0），用戶可以透過安裝或是升級到NSX 4.0後使用（圖7）。在NSX全新安裝（Greenfield）時，惡意位址阻擋功能預設為開啟且直接進行保護；而在升級現有環境（Brownfield）時，此功能預設是關閉，需要手動啟用。

要特別注意的是，既然這個功能一定得使用NSX 4.0版，也提醒4.0版只能運作在vSphere 7之後。如果現有生產環境還停留在vSphere 6.5/6.7，在進行NSX相關升級時，也請務必考慮做整個虛擬化環境的升級。

部署環境必須能夠透過Internet或Proxy連線到VMware NTICS雲服務

如果在VMware NSX相關文件看到NTICS這個縮寫，全文是NSX Threat Intelligence Cloud Service，也就是由NSX安全專家團隊維護，讓客戶環境中的NSX Manager可下載包含IDPS特徵值，以及這裡的Internet惡意位址清單的服務。

如圖8所示，當NSX Manager要能連到NTICS服務時，必須達到以下的要求：

‧企業需要開通由NSX Manager往api.nsx-sec-prod.com以及*.amazonaws.com的TCP 443埠（Port）連線。

‧可選擇透過Proxy提供連線。

上面的連線需求與部署NSX IDPS的要求完全相同，不需要額外開通其他的連線通道。但一個很大的差異是，雖然麻煩，但NSX IDPS的特徵碼可以透過手動下載（藉由Restful-API），然後再匯入到與Internet隔絕（Air-Gap）的環境內。但Malicious IP Filtering的位址清單資料不能手動下載，也就是上面所述的防火牆或Proxy開通作業一定要配置。但這裡的要求也很合理，如果真的是Air-Gap的環境，其實也完全不需要擔心有任何來自或連往Internet的連線。

當上面連線建立，NSX Manager會自動每12小時往NTICS進行詢問，是否有最新的惡意位址清單，並於需要時進行下載。

NSX必須是採用訂閱型授權

因為惡意位址阻擋功能與IDPS這些進階安全功能一樣，必須由專家團隊隨時進行清單更新與維護，所以這個功能僅包含在「訂閱型態」（Subscription-Based）的授權內，而不包含在基礎「賣斷型態」（Perpetual-Based）的授權。也就是說，如果企業僅是用標準NSX By-CPU的賣斷方式購買，無論是採購Professional、Advanced或Enterprise Plus授權，都沒有提供這項功能。

要取得惡意位址阻擋功能，可以透過下列方式之一：

1. 採用訂閱方式購買NSX的Professional、Advanced、Enterprise Plus授權。

2. 購買NSX Distributed Firewall授權。這個授權僅包含安全功能（不包含網路功能），也僅能透過訂閱方式取得。無論是最基本的NSX Distributed Firewall，或第二層的NSX Distributed Firewall with Threat Prevention（包含IDPS功能），或是最高等級的NSX Distributed Firewall with Advanced Threat Prevention（再包含惡意軟體阻擋、網路流分析、網路安全威脅儀表板等功能）內，都包含惡意位址阻擋機制。

3. 若客戶現有環境已經是賣斷的NSX Professional、Advanced、Enterprise Plus授權，可透過購買NSX Distributed Firewall with Threat Prevention、NSX Distributed Firewall with Advanced Threat Prevention的Add-on訂閱授權，取得惡意位址阻擋機制。

如果想查詢特定NSX功能是在哪個版本內有支援，可以直接連結至「https://docs.vmware.com/en/VMware-NSX/4.0/nsx-feature-and-edition-guide/GUID-1D808019-7BCC-4A47-B8CA-BC0993E36EBF.html」網頁進行查詢，如圖9所示。

結語

本文先說明並簡單展示了NSX 4.0內的新功能「Malicious IP Filtering」，相信大家看了應該也可感受到這邊在資料中心對應Internet防護上的進一步強化。接著，介紹了使用惡意位址阻擋功能的三個相關需求條件：至少NSX 4.0以上產品版本、須提供與Internet上NTICS雲服務連線，以及需要購買訂閱型態授權。

＜本文作者：饒康立，VMware資深技術顧問，主要負責VMware NSX產品線，目前致力於網路虛擬化、軟體定義網路、微分段安全防護技術，以及新應用遞送方案的介紹與推廣。＞