虚拟网络连接层包括虚拟网络适配器、虚拟交换机、分布式虚拟交换机及端口和端口组。ESXi 依赖虚拟网络连接层来支持虚拟机与其用户之间的通信。此外,ESXi 可使用虚拟网络连接层与 iSCSI SAN 和 NAS 存储等进行通信。

vSphere 包括安全网络基础架构所需的全套功能。您可以单独确保基础架构中每个元素(如虚拟交换机、分布式虚拟交换机和虚拟网络适配器)的安全。此外,请考虑以下准则,这些准则将在确保 vSphere 网络安全中进行更详细的介绍。

隔离网络流量

网络流量隔离对保护 ESXi 环境安全至关重要。不同的网络需要不同的访问权限和隔离级别。管理网络将客户端流量、命令行界面 (CLI) 或 API 流量,以及第三方软件流量与正常流量隔离。确保管理网络仅供系统、网络和安全管理员访问。

请参见ESXi 网络连接安全建议

使用防火墙确保虚拟网络元素的安全

您可以打开和关闭防火墙端口,并单独确保虚拟网络中每个元素的安全。对于 ESXi 主机,防火墙规则可将服务与相应的防火墙关联,并可以根据服务的状态打开和关闭防火墙。请参见ESXi 防火墙配置

您也可以明确打开 Platform Services ControllervCenter Server 实例上的端口。请参见vCenter Server 和 Platform Services Controller 所需的端口其他 vCenter Server TCP 和 UDP 端口

考虑网络安全策略

网络安全策略可保护流量免受 MAC 地址模拟和有害端口扫描的威胁。在网络协议堆栈的第 2 层(数据链路层)执行标准交换机或 Distributed Switch 的安全策略。安全策略的三大要素是混杂模式、MAC 地址更改和伪信号。

有关说明,请参见《vSphere 网络连接》文档。

确保虚拟机网络安全

可确保虚拟机网络安全的方法取决于安装的客户机操作系统、虚拟机是否在受信任的环境中运行以及其他因素。与其他常见安全措施(例如,安装防火墙)结合使用时,虚拟交换机和分布式虚拟交换机提供的保护作用非常显著。

请参见确保 vSphere 网络安全

考虑使用 VLAN 保护您的环境

ESXi 支持可用于为虚拟机网络或存储配置提供进一步保护的 IEEE 802.1q VLAN。通过 VLAN,可对物理网络进行分段。使用 VLAN 时,同一物理网络中的两台计算机无法互相收发数据包,除非它们位于同一 VLAN 上。

请参见通过 VLAN 确保虚拟机安全

确保虚拟化存储连接的安全

虚拟机可在虚拟磁盘上存储操作系统文件、程序文件以及其他数据。从虚拟机的角度而言,每个虚拟磁盘看上去都好像是与 SCSI 控制器连接的 SCSI 驱动器。虚拟机与存储详细信息隔离,且无法访问有关其虚拟磁盘所在的 LUN 的信息。

虚拟机文件系统 (VMFS) 是向 ESXi 主机提供虚拟卷的分布式文件系统和卷管理器。您必须确保存储连接的安全。例如,如果使用 iSCSI 存储,则可以将您的环境设置为使用 CHAP;如果公司策略需要,则可通过 vSphere Web Client 或 CLI 设置为使用双向 CHAP。

请参见存储安全性最佳做法

评估 IPSec 的使用

ESXi 支持 IPv6 上的 IPSec。不能使用 IPv4 上的 IPSec。

请参见Internet 协议安全

此外,请评估 VMware NSX for vSphere 是否是确保环境中网络连接层安全的有效解决方案。