您可以将 NSX 分布式防火墙 (DFW) 用于宏分段(安全区域)和微分段。分布式防火墙通过自动化的策略制定,提供完整的 L2-L7 东西向可见性和实施。它适用于 ESXi 上的物理服务器和虚拟机,并且无需更改物理网络。通过使用 DFW,可以在任何所需的情况下进行分段。共有四种基本类型的分段,其中很多类型可以共存,每种分段应用于环境中的不同区域。
- 区域分段:一般而言,区域分段可以将生产与非生产用途分割开,也可以按业务单位、功能或产品服务进行更详细的分段。关键在于,定义的每个区域都与分段、VLAN、数据中心或其他构造无关。区域完全是逻辑定义,可用于定义安全策略。
- VLAN 分段:VLAN 分段最常用于替换传统防火墙基础架构。在此模型中,IP 分段是安全策略的源或目标的定义元素。
- 应用程序分段:应用程序分段用于定义有关应用程序的逻辑安全环。由于通常不会详细了解应用程序,因此可以很方便地只为给定应用程序定义一个标记,将这个标记应用于它的所有组件,并允许在所述元素之间进行完全通信。这比具有多个应用程序的大型区域定义更加安全,因为无需详细了解微分段。
- 微分段:微分段是一种安全模型,其中已尽可能明确地定义了元素之间的通信。在极端情况下,微分段可以明确定义配对元素之间的通信。显然,这操作起来很复杂,因此 NSX 基于标记提供微分段,从而允许按组进行明确定义。例如,您可以定义一条规则,该规则允许对标记的安全 Web 服务器使用 SSL,但只允许使用 TLS 1.3 版本。根据组织的需求,您可以在不同的区域对每种情意进行分段。
利用 NSX,所有这些分段方法都不具有排他性,而是可以共存的。您可以决定在区域模型中对实验进行分段,只需在其周围设置边界并在微分段中设置 DMZ 环境即可。您可以仅按应用程序对非生产环境进行分段,也可以使用 VLAN 对包含敏感客户数据的生产应用程序进行进一步分段。将一种安全模型更改为另一种安全模型可通过简单的策略推送完成,而无需重新构建任何网络基础架构。
