分散式防火牆可讓您根據虛擬機器名稱和屬性,分割組織虛擬資料中心實體,例如虛擬機器。
VMware Cloud Director 支援受 NSX Data Center for vSphere 支援的組織虛擬資料中心上的分散式防火牆服務。如 NSX Data Center for vSphere 說明文件中所述,此分散式防火牆是 Hypervisor 核心內嵌防火牆,可提供對虛擬化工作負載和網路的可見度與控制。您可以根據虛擬機器名稱等物件以及 IP 位址或 IP 集位址等網路建構,建立存取控制原則。防火牆規則會在每個虛擬機器的 vNIC 層級強制執行,以提供一致的存取控制,即使 vSphere vMotion 將虛擬機器移至新的 ESXi 主機。此分散式防火牆支援可在近線速率處理時檢查東西向流量的微分割安全性模型。
如 NSX Data Center for vSphere 說明文件中所述,對於第 2 層 (L2) 封包,分散式防火牆會建立快取以提升效能。第 3 層 (L3) 封包按下列順序進行處理:
- 檢查所有封包的現有狀態。
- 找到狀態相符項時,會處理封包。
- 找不到狀態相符項時,會透過規則處理封包,直到找到相符項。
- 對於 TCP 封包,僅針對具有 SYN 旗標的封包設定狀態。但是,未指定通訊協定 (服務 ANY) 的規則可以符合具有任意旗標組合的 TCP 封包。
- 對於 UDP 封包,會從封包擷取 5 元組詳細資料。如果狀態資料表中不存在狀態,會使用擷取的 5 元組詳細資料建立新狀態。後續接收的封包會根據剛建立的狀態進行比對。
-
對於 ICMP 封包,ICMP 類型、代碼和封包方向會用來建立狀態。
分散式防火牆同時有助於建立身分識別型規則。管理員可以根據使用者的群組成員資格 (如企業 Active Directory (AD) 中所定義),強制執行存取控制。可以使用身分識別型防火牆規則的一些使用案例如下:
- 使用者使用膝上型電腦或行動裝置存取虛擬應用程式,其中 AD 用於使用者驗證
- 使用者使用 VDI 基礎結構存取虛擬應用程式,其中虛擬機器以 Microsoft Windows 為基礎
如需有關分散式防火牆所提供功能的更多詳細資訊,請參閱 NSX Data Center for vSphere 說明文件。