在为 NSX 准备的所有 ESXi 主机群集上,分布式防火墙 (DFW) 作为 VIB 软件包在内核中运行。主机准备自动在 ESXi 主机群集上激活 DFW。

以边界为中心的传统安全架构的基本限制影响新型数据中心的安全状态和应用程序可扩展性。例如,通过网络边界的物理防火墙往返传输流量导致某些应用程序出现额外的延迟。

DFW 从物理防火墙中移除不必要的往返传输以补充和增强物理安全性,并减少网络上的流量。在离开 ESXi 主机之前,将阻止拒绝的流量。流量不需要穿过网络,物理防火墙将其阻止在边界位置。发往同一主机或另一主机上的另一个虚拟机的流量不必穿过网络到达物理防火墙,并随后返回到目标虚拟机。将在 ESXi 级别检查流量并将其传输到目标虚拟机。


该图显示了具有和没有 DFW 的网络中的流量流。

NSX DFW 是一个有状态防火墙,这意味着它监控活动连接的状态,并使用该信息确定允许哪些网络数据包通过防火墙。DFW 是在虚拟化管理程序中实施的,并针对每个 vNIC 应用于虚拟机。即,防火墙规则是在每个虚拟机的 vNIC 中实施的。在流量即将离开虚拟机并进入虚拟交换机(输出)时,将在虚拟机的 vNIC 中进行流量检查。在流量即将离开交换机但在进入虚拟机(输入)之前,也会在 vNIC 中进行检查。

将自动从 DFW 中排除 NSX Manager 虚拟设备、NSX Controller 虚拟机和 NSX Edge 服务网关。如果虚拟机不需要 DFW 服务,您可以手动将其添加到排除列表中。

由于 DFW 分布在每个 ESXi 主机的内核中,因此,在将主机添加到群集时,将会横向扩展防火墙容量。添加更多主机将会增加 DFW 容量。随着您的基础架构扩展,并且您购买更多服务器以满足不断增长的虚拟机数量要求,DFW 容量将会增加。

DFW 策略规则

DFW 策略规则是使用 vSphere Web Client 创建的,这些规则存储在 NSX Manager 数据库中。通过使用 DFW,您可以创建以太网规则(L2 规则)和一般规则(L3 到 L7 规则)。这些规则从 NSX Manager 发布到 ESXi 群集,然后从 ESXi 主机下发到虚拟机级别。同一群集中的所有 ESXi 主机具有相同的 DFW 策略规则。

ESXi 主机上的分布式防火墙实例包含以下两个表:
  • 用于存储所有安全策略规则的规则表。
  • 连接跟踪器表,用于缓存具有允许操作的规则的流条目。

DFW 规则是按“自上而下”的顺序运行的。必须通过防火墙的流量先与防火墙规则列表进行匹配。根据规则表中的最上面规则检查每个数据包,然后向下移到表中的后续规则。表中第一条匹配流量参数的规则会被强制实施。表中的最后一个规则是 DFW 默认规则。与默认规则上方的任何规则均不匹配的数据包将强制使用默认规则。

每个虚拟机具有自己的防火墙策略规则和上下文。在 vMotion 期间,在虚拟机从一个 ESXi 主机移动到另一个主机时,DFW 上下文(规则表、连接跟踪器表)随虚拟机一起移动。此外,在 vMotion 期间,所有活动连接保持不变。换句话说,DFW 安全策略独立于虚拟机位置。

使用 DFW 进行微分段

微分段将每个相关的虚拟机组隔离到不同的逻辑网段上,从而使数据中心网络变得更加安全。通过使用微分段,管理员可以为从数据中心的一个逻辑网段传输到另一个逻辑网段的流量(东西向流量)设置防火墙。因此,东西向流量的防火墙限制了攻击者在数据中心横向移动的能力。

微分段由 NSX 的分布式防火墙 (DFW) 组件提供支持。DFW 的强大之处在于,网络拓扑不再是安全实施的障碍。可以使用任何类型的网络拓扑实现相同程度的流量访问控制。

有关微分段用例的详细示例,请参见NSX 网络虚拟化设计指南》中的“使用 NSX DFW 进行微分段和实施”部分,网址为 https://communities.vmware.com/docs/DOC-27683

基于用户身份的 DFW 策略规则

分布式防火墙也可以帮助创建基于身份的规则。安全管理员可以根据企业 Active Directory 中定义的用户身份和用户组成员身份实施访问控制。例如,可以在以下场景中使用基于身份的分布式防火墙规则:
  • 用户希望使用通过 Active Directory 进行用户身份验证的笔记本电脑或移动设备访问虚拟应用程序。
  • 用户希望使用虚拟机运行 Microsoft Windows 操作系统的 VDI 基础架构访问虚拟应用程序。

有关 Active Directory 基于用户的 DFW 规则的详细信息,请参见身份防火墙概述