通过分布式防火墙,您可以基于虚拟机名称和属性将组织虚拟数据中心实体(例如虚拟机)分段。
VMware Cloud Director 支持在受 NSX Data Center for vSphere 支持的组织虚拟数据中心上使用分布式防火墙服务。如 NSX Data Center for vSphere 文档中所述,此分布式防火墙是嵌入 Hypervisor 内核的防火墙,用于查看和控制虚拟化工作负载和网络。您可以基于像虚拟机名称这样的对象以及像 IP 地址或 IP 集地址这样的网络构造创建访问控制策略。在每个虚拟机的虚拟网卡级别强制实施防火墙规则,以便即使 vSphere vMotion 将虚拟机移至新 ESXi 主机时也能够提供一致的访问控制。此分布式防火墙支持微分段安全模型,从而能够以近线速率处理检查东西向流量。
如 NSX Data Center for vSphere 文档中所述,对于第 2 层 (L2) 数据包,分布式防火墙会创建缓存以提升性能。第 3 层 (L3) 数据包按以下顺序进行处理:
- 检查所有数据包的现有状态。
- 如果发现状态匹配,则处理数据包。
- 如果未发现状态匹配,则通过规则处理数据包,直到发现匹配。
- 对于 TCP 数据包,仅为带有 SYN 标记的数据包设置状态。但是,未指定协议的规则(服务于任何项)可以匹配带有任何标记组合的 TCP 数据包。
- 对于 UDP 数据包,从数据包中提取五元组详细信息。如果状态表中不存在状态,将使用已提取的五元组详细信息创建新状态。随后接收的数据包将根据刚刚创建的状态进行匹配。
-
对于 ICMP 数据包,使用 ICMP 类型、代码和数据包方向创建状态。
分布式防火墙也可以帮助您创建基于身份的规则。管理员可以基于在企业 Active Directory (AD) 中定义的用户组成员资格强制实施访问控制。可能使用基于身份的防火墙规则的一些用例有:
- 用户使用笔记本电脑或移动设备访问虚拟应用程序,且这些设备使用 AD 进行用户身份验证
- 用户使用 VDI 基础架构访问虚拟应用程序,且虚拟机基于 Microsoft Windows
有关分布式防火墙所提供功能的更多详细信息,请参见 NSX Data Center for vSphere 文档。