本节中的主题涵盖分布式防火墙规则、身份防火墙、网络侦测、网关防火墙和端点保护策略的南北向和东西向安全功能。 后续主题 防火墙规则实施可以为您的环境在预定义的类别下配置东西向和南北向防火墙策略。 安全概览从 NSX-T Data Center 3.2 开始,全新设计的“安全”仪表板可帮助您配置保护网络和工作负载的功能。安全概览仪表板显示各种威胁检测和响应功能、整体安全配置的可视化摘要以及 NSX-T Data Center 环境中各种对象的功能。 安全监控 安全术语以下术语将在整个分布式防火墙中使用。 身份防火墙通过使用身份防火墙 (Identity Firewall, IDFW) 功能,NSX 管理员可以创建基于 Active Directory 用户的分布式防火墙 (DFW) 规则。 第 7 层上下文配置文件第 7 层应用程序 ID 已配置为上下文配置文件的一部分。 分布式防火墙分布式防火墙附带有防火墙规则的预定义类别。您可以使用类别来组织安全策略。 网关防火墙网关防火墙表示在边界防火墙应用的规则。 适用于 vSphere Distributed Switch 的 Distributed Security您可以安装仅适用于 vSphere Distributed Switch (VDS) 的 Distributed Security。换句话说,您可以在 VDS 上安装 Distributed Security,而无需部署 NSX 虚拟分布式交换机 (N-VDS)。 端点保护NSX-T Data Center 允许您插入第三方合作伙伴服务,作为提供端点保护服务的单独服务虚拟机。合作伙伴服务虚拟机会根据 NSX-T Data Center 管理员应用的端点保护策略规则来处理客户机虚拟机中的文件、进程和注册表活动。 东西向网络安全 - 第三方服务链合作伙伴在 NSX-T Data Center 中注册网络服务(如入侵检测系统或入侵防御系统 (IPS/IDS))后,作为管理员,您可以配置网络服务以自检在内部部署数据中心的虚拟机之间流动的东西向流量。 南北向网络安全 - 插入第三方服务NSX-T Data Center 提供了在数据中心插入 Tier-0 或 Tier-1 路由器第三方服务以将流量重定向到第三方服务进行自检的功能。仅支持使用 ESXi 主机部署南北向服务虚拟机。不支持 KVM 主机。 网络侦测设置本节包含用于配置网络侦测的设置。 NSX IDS/IPS 和 NSX 恶意软件防护NSX 入侵检测和防御服务 (IDS/IPS) 通过将流量与一组已知的入侵检测特征码进行比较,监控东西向流量和南北向流量,以检测恶意流量模式。NSX 恶意软件防护 从东西向流量和南北向流量中提取文件,并分析这些文件以了解恶意行为。 NSX Network Detection and Response 要保护您的网络环境以防御 MITRE ATT&CK 技术,VMware NSX® Network Detection and Response™ 使用从网络流量分析、入侵检测和防护以及 NSX Data Center 中提供的网络沙箱引擎中收到的信号。NSX Network Detection and Response 提供了一个基于云的架构,可让您的安全运维团队能够全面了解穿过边界的流量(南北向)以及在网络边界内横向移动的流量(东西向)。 基于时间的防火墙策略通过设置时间范围,安全管理员可以限制特定时间段内从源流出的流量或流入目标的流量。 防火墙故障排除本节提供了有关解决防火墙问题的信息。 裸机服务器安全性保护在 Windows Server 2016 裸机服务器上运行的工作负载。 常规安全设置