使用租用戶入口網站,您可以設定由 VMware Cloud Director 組織虛擬資料中心內的 NSX Data Center for vSphere 所提供的防火牆功能。您可以建立分散式防火牆的防火牆規則,在組織虛擬資料中心內的虛擬機器與要套用至 Edge 閘道防火牆的防火牆規則之間提供安全性,以防組織虛擬資料中心內的虛擬機器傳入外部網路流量。
NSX Data Center for vSphere 邏輯防火牆技術包含兩個元件來處理不同的部署使用案例。Edge 閘道防火牆的重點在於南北向流量強制執行,而分散式防火牆著重於東西向存取控制。
Edge 閘道防火牆和分散式防火牆之間的主要差異
Edge 閘道防火牆會監控南北向流量,以提供周邊安全性功能,包括防火牆、網路位址轉譯 (NAT) 以及站台間 IPSec 與 SSL VPN 功能。
分散式防火牆提供用於隔離並保護每個虛擬機器和應用程式安全 (直至第 2 層 (L2)) 的功能。有效地設定分散式防火牆可以隔離任何外部或內部網路安全性危害,從而隔離位於相同網路區段上的虛擬機器之間的東西向流量。安全性原則可集中管理、繼承和嵌套,以便網路和安全管理員可進行大規模管理。此外,一旦部署已定義的安全性原則,它們便會跟隨虛擬機器或應用程式在不同的虛擬資料中心之間移動。
關於防火牆規則
如相關產品說明文件中所述,在 NSX Data Center for vSphere 中,集中式層級上所定義的防火牆規則稱為預先規則。您也可以在個別 Edge 閘道層級中新增規則,這些規則稱為本機規則。
在資料表中將後續規則向下移動之前,系統會對防火牆資料表中的頂端規則檢查每一個流量工作階段。系統會強制執行資料表中符合流量參數的第一個規則。規則按以下順序顯示:
- 使用者定義的預先規則具有最高優先順序,並針對每個虛擬 NIC 層級優先順序以從上到下的順序強制執行。
- 自動探索的規則 (可控制 Edge 閘道服務的流量流動的規則)。
- 在 Edge 閘道層級定義的本機規則。
- 預設分散式防火牆規則
如需有關 NSX Data Center for vSphere 軟體如何強制執行防火牆規則的詳細資訊,請參閱 NSX Data Center for vSphere 說明文件中的〈變更防火牆規則的順序〉。