虚拟网络连接层包括虚拟网络适配器、虚拟交换机、分布式虚拟交换机及端口和端口组。ESXi 依赖虚拟网络连接层来支持虚拟机与其用户之间的通信。此外，ESXi 可使用虚拟网络连接层与 iSCSI SAN 和 NAS 存储等进行通信。

vSphere 包括安全网络基础架构所需的全套功能。您可以单独确保基础架构中每个元素（如虚拟交换机、分布式虚拟交换机和虚拟网络适配器）的安全。此外，请考虑以下准则，这些准则将在确保 vSphere 网络安全中进行更详细的介绍。

隔离网络流量

网络流量隔离对保护 ESXi 环境安全至关重要。不同的网络需要不同的访问权限和隔离级别。管理网络将客户端流量、命令行界面 (CLI) 或 API 流量，以及第三方软件流量与正常流量隔离。确保管理网络仅供系统、网络和安全管理员访问。

请参见 ESXi 网络连接安全建议。

使用防火墙确保虚拟网络元素的安全

您可以打开和关闭防火墙端口，并单独确保虚拟网络中每个元素的安全。对于 ESXi 主机，防火墙规则可将服务与相应的防火墙关联，并可以根据服务的状态打开和关闭防火墙。

您也可以明确打开 vCenter Server 实例上的端口。

有关 VMware 产品（包括 vSphere 和 vSAN）中所有受支持的端口和协议的列表，请参见 https://ports.vmware.com/ 中的 VMware Ports and Protocols Tool™。您可以按 VMware 产品搜索端口，创建自定义端口列表，以及打印或保存端口列表。

考虑网络安全策略

网络安全策略可保护流量免受 MAC 地址模拟和有害端口扫描的威胁。在网络协议堆栈的第 2 层（数据链路层）执行标准交换机或 Distributed Switch 的安全策略。安全策略的三大要素是混杂模式、MAC 地址更改和伪信号。

有关说明，请参见《 《vSphere 网络连接》》文档。

确保虚拟机网络连接安全

用于确保虚拟机网络连接安全的方法取决于多种因素，包括：

• 安装的客户机操作系统
• 虚拟机是否在受信任的环境中运行

与其他常见安全措施（例如，安装防火墙）结合使用时，虚拟交换机和分布式虚拟交换机提供的保护作用非常显著。

请参见 确保 vSphere 网络安全。

考虑使用 VLAN 保护您的环境

ESXi 支持 IEEE 802.1q VLAN。通过 VLAN，可对物理网络进行分段。可以使用 VLAN 为虚拟机网络或存储配置提供进一步保护。使用 VLAN 时，同一物理网络中的两台虚拟机无法互相收发数据包，除非它们位于同一 VLAN 上。

请参见 通过 VLAN 确保虚拟机安全。

确保虚拟化存储连接的安全

虚拟机可在虚拟磁盘上存储操作系统文件、应用程序文件以及其他数据。从虚拟机的角度而言，每个虚拟磁盘看上去都好像是与 SCSI 控制器连接的 SCSI 驱动器。虚拟机与存储详细信息隔离，且无法访问有关其虚拟磁盘所在的 LUN 的信息。

虚拟机文件系统 (VMFS) 是向 ESXi 主机提供虚拟卷的分布式文件系统和卷管理器。您必须确保存储连接的安全。例如，如果您使用的是 iSCSI 存储，则可以将您的环境设置为使用 CHAP。如果公司策略要求，可以设置双向 CHAP。使用 vSphere Client 或 CLI 设置 CHAP。

请参见 存储安全性最佳做法。

评估 IPSec 的使用

ESXi 支持 IPv6 上的 IPSec。不能使用 IPv4 上的 IPSec。

请参见 Internet 协议安全。