虚拟网络连接层包括虚拟网络适配器、虚拟交换机、分布式虚拟交换机及端口和端口组。ESXi 依赖虚拟网络连接层来支持虚拟机与其用户之间的通信。此外,ESXi 可使用虚拟网络连接层与 iSCSI SAN 和 NAS 存储等进行通信。
vSphere 包括安全网络基础架构所需的全套功能。您可以单独确保基础架构中每个元素(如虚拟交换机、分布式虚拟交换机和虚拟网络适配器)的安全。此外,请考虑以下准则,这些准则将在确保 vSphere 网络安全中进行更详细的介绍。
隔离网络流量
网络流量隔离对保护 ESXi 环境安全至关重要。不同的网络需要不同的访问权限和隔离级别。管理网络将客户端流量、命令行界面 (CLI) 或 API 流量,以及第三方软件流量与正常流量隔离。确保管理网络仅供系统、网络和安全管理员访问。
请参见ESXi 网络连接安全建议。
使用防火墙确保虚拟网络元素的安全
您可以打开和关闭防火墙端口,并单独确保虚拟网络中每个元素的安全。对于 ESXi 主机,防火墙规则可将服务与相应的防火墙关联,并可以根据服务的状态打开和关闭防火墙。
您也可以明确打开 vCenter Server 实例上的端口。
有关 VMware 产品(包括 vSphere 和 vSAN)中所有受支持的端口和协议的列表,请参见 https://ports.vmware.com/ 中的 VMware Ports and Protocols Tool™。您可以按 VMware 产品搜索端口,创建自定义端口列表,以及打印或保存端口列表。
考虑网络安全策略
网络安全策略可保护流量免受 MAC 地址模拟和有害端口扫描的威胁。在网络协议堆栈的第 2 层(数据链路层)执行标准交换机或 Distributed Switch 的安全策略。安全策略的三大要素是混杂模式、MAC 地址更改和伪信号。
有关说明,请参见《《vSphere 网络连接》》文档。
确保虚拟机网络安全
- 安装的客户机操作系统
- 虚拟机是否在受信任的环境中运行
请参见确保 vSphere 网络安全。
考虑使用 VLAN 保护您的环境
ESXi 支持 IEEE 802.1q VLAN。通过 VLAN,可对物理网络进行分段。可以使用 VLAN 为虚拟机网络或存储配置提供进一步保护。使用 VLAN 时,同一物理网络中的两台计算机无法互相收发数据包,除非它们位于同一 VLAN 上。
请参见通过 VLAN 确保虚拟机安全。
确保虚拟化存储连接的安全
虚拟机可在虚拟磁盘上存储操作系统文件、应用程序文件以及其他数据。从虚拟机的角度而言,每个虚拟磁盘看上去都好像是与 SCSI 控制器连接的 SCSI 驱动器。虚拟机与存储详细信息隔离,且无法访问有关其虚拟磁盘所在的 LUN 的信息。
虚拟机文件系统 (VMFS) 是向 ESXi 主机提供虚拟卷的分布式文件系统和卷管理器。您必须确保存储连接的安全。例如,如果您使用的是 iSCSI 存储,则可以将您的环境设置为使用 Challenge Handshake Authentication Protocol (CHAP)。如果公司策略要求,可以设置双向 CHAP。使用 vSphere Client 或 CLI 设置 CHAP。
请参见存储安全性最佳做法。
评估 Internet 协议安全的使用
ESXi 支持 IPv6 上的 Internet 协议安全 (IPSec)。不能使用 IPv4 上的 IPSec。
