使用租户门户,可以在 VMware Cloud Director 组织虚拟数据中心中配置 NSX Data Center for vSphere 提供的防火墙功能。您可以为分布式防火墙创建防火墙规则以便在组织虚拟数据中心中的虚拟机之间提供安全性,也可以创建应用于 Edge 网关防火墙的防火墙规则,以保护组织虚拟数据中心中的虚拟机不会受到外部网络流量的攻击。
NSX Data Center for vSphere 逻辑防火墙技术由两个组件组成,可满足不同的部署用例需求。Edge 网关防火墙专注于南北向流量执行,而分布式防火墙专注于东西向访问控制。
Edge 网关防火墙和分布式防火墙之间的主要区别
Edge 网关防火墙监控南北向流量,以提供边界安全保护功能,包括防火墙、网络地址转换 (NAT) 以及点对点 IPSec 和 SSL VPN 功能。
分布式防火墙能够隔离和保护每个虚拟机及应用程序,且隔离和保护深度能达到第 2 层 (L2) 级别。配置分布式防火墙可有效隔离任何外部或内部网络安全危害,从而隔离同一网段上虚拟机之间的东西向流量。安全策略集中管理,可以继承,也可嵌套使用,因此网络和安全管理员可以大规模进行管理。此外,一经部署,定义的安全策略将在虚拟机或应用程序在不同虚拟数据中心之间移动时跟随这些虚拟机或应用程序。
关于防火墙规则
如相关产品文档中所述,在 NSX Data Center for vSphere 中,集中定义的防火墙规则称为预定义规则。您还可以在单个 Edge 网关级别添加规则,这些规则称为本地规则。
在向下移动到防火墙表中的后续规则之前,将根据表中的顶部规则检查每个通信会话。表中第一个匹配流量参数的规则会强制实施。将按照以下顺序显示规则:
- 用户定义的预定义规则具有最高优先级,按照从上到下的顺序强制实施,且在每个虚拟网卡级别优先实施。
- 自动探究的规则(使控制流量能够传输来实现各种 Edge 网关服务的规则)。
- 在 Edge 网关级别定义的本地规则。
- 默认分布式防火墙规则
有关 NSX Data Center for vSphere 软件如何实施防火墙规则的详细信息,请参见 NSX Data Center for vSphere 文档中的“更改防火墙规则的顺序”。