VMware准备将其内部安全方法引入防火墙。新的防火墙技术将专注于减少攻击面，而不只是应对当下的威胁。这里的目标是加强基础设施，让攻击者可入侵的地方减少。

VMware公司网络安全业务部门产品营销副总裁Ambika Kapur表示：“现在是时候让安全技术跟上发展步伐，以保护当今的数据中心和应用程序。”

VMware的服务定义防火墙

服务定义防火墙运行在虚拟机管理程序中，即时基础架构以任何方式受到攻击，攻击者都很难将其关闭。为实现这一目标，该防火墙结合了其NSX网络虚拟化平台和主机检查AppDefense功能。它利用应用程序可见性以及对已知良好应用程序行为的理解，通过智能、自动和自适应防火墙功能来锁定应用程序、数据和用户。

这种方法可确保安全得到高度分布，这在现代数据中心至关重要。

Kapur 称：“在旧架构中，我们会将单台设备（虚拟或物理）放在一个地方，获取流量并将流量回传到此设备进行扫描，这样做很昂贵，且不是一种优雅的安全解决方案。”

传统的外围防火墙基本上被用于过滤来自未知主机的近乎无限的流量。在这样做的过程中，它会试图弄清楚什么是好的与坏的，并阻止坏的东西进入，但其实攻击者可巧妙地将坏的伪装成好的。

而内部防火墙则更智能。它的工作是保护已知资产免受任何逾越边界的攻击。这种服务定义防火墙从完整的背景知识层面检查网络 – 以第7层有状态的方式。

VMware的Application Verification Cloud

除了内部防火墙，VMware还创建了Application Verification Cloud（应用程序验证云）。它利用主机和网络级的所有智能和可视性-以及超过300万个行为映射（在主机级别为已知良好行为所创建），并采用机器学习和人为监督来构建已知良好行为的准确映射。

Kapur解释说：“我们拥有智能和可视性，服务定义防火墙将这些组合在一起，并将其用于提供防御。机器学习和人类监督建立了前所未有的准确性，然后将这种逻辑推向执行层。”

在执行方面，很多替代防火墙提供二进制操作，即允许或阻止。而服务定义防火墙可以阻止、允许或隔离，具体取决于信息类型和你所定义的合适信息。

VMware还解决了现代流量模式问题。

Kapur 说：“大多数人都采用南北边界逻辑来保护数据中心内部。这没有太多意义，因为现在流量模式已经发生变化，很多东西正在向东西方流动。如果你知道你正在运行的资产和应用程序，更好的方法就是对正在运行的东西以及允许的基础设施行为构建良好的映射，然后将其锁定。通过这样做，你可以减小攻击面，任何不符合被允许的行为都会被阻止。

Kapur说，对于运行NSX的企业来说，可以轻而易举地开启内部防火墙功能。

她表示：“但即使你没有使用NSX，你仍然可以部署NSX防火墙功能。它可在任何位置运行， NSX和我们的防火墙功能不仅限于VMware环境；它们可运行在裸机、公共云环境或容器中。”

VMware防火墙方法的优点

451 Research分析师Mike Fratto表示，VMware的防火墙方法为企业安全提供了两大优势。

他指出：“一个是在技术方面，另一个是在操作方面。VMware正在使用AppDefense的功能来检查外部虚拟机（VM）中发生的事情，并与它们进行交互。由于VM中没有运行代理，因此攻击者无法利用代理，这将使攻击者非常难以绕过。”

Fratto解释说：“主机代码应该不会泄漏，因此安装在虚拟机管理程序中并具有对虚拟机的特权访问权限，客户可以放心攻击者无法禁用AppDefense及其部署的监控和控制。通过AppDefense的可视性，不仅可以看到虚拟机如何相互通信，而且还可以看到虚拟机中的哪些进程正在运行和通信，因此可以确定正常的应用程序行为与异常行为，并阻止网络访问该流程。这非常重要，因为它允许授权活动继续，而同时阻止未经授权的活动。”

Fratto表示，操作优势在于“发现和分析应用程序行为，然后构建访问策略，只允许必要的通信路径到流程级别。当IT有信心对应用程序行为建模，就会生成策略，这可能需要IT花费数小时或数天来手动构建。该策略可随着应用程序层级扩展而扩展。AppDefense还会记录连接和错误，因此很容易看到攻击者在攻击期间做出的尝试。”

设置初始策略只是应用程序生命周期中的一个步骤。

Fratto补充说：“随着应用程序得到更新，它们的通信方式也会随着阻止策略的变化而变化，这可能意味着应用程序策略会打破应用程序。应用程序验证云可通过VMware客户群了解什么是正常情况，并可用于验证新软件或更新软件是否合法。”

VMware的服务定义防火墙是否开始流行？是的，目前已有超过10,000名客户在使用它。由Verodin公司（一家验证网络安全有效性的公司）在其安全部署平台上运行的测试序列显示，VMware的服务定义防火墙能够检测并阻止100％的恶意攻击。

Verodin公司首席执行官Christopher Key指出：“当基础设施本身正在执行已知良好的应用程序行为和通信时，常见的攻击者策略和技术将非常难以执行。”