本小節中的主題涵蓋分散式防火牆規則的南北向和東西向安全性、身分識別防火牆、網路自我檢查、閘道防火牆和端點保護原則。 後續主題 防火牆規則強制執行為您的環境設定東西向和南北向防火牆原則 (這些原則歸屬於預先定義的類別)。 安全性概觀從 NSX-T Data Center 3.2 開始,全新設計的 [安全性] 儀表板協助您設定功能來保護網路和工作負載。安全性概觀儀表板顯示各種威脅偵測和回應功能、整體安全性組態的視覺摘要,以及 NSX-T Data Center 環境中各種物件的容量。 安全性監控 安全性術語以下詞彙將在整個分散式防火牆中使用。 身分識別防火牆透過身分識別防火牆 (IDFW) 功能,NSX 管理員可建立以 Active Directory 使用者為基礎的分散式防火牆 (DFW) 規則。 第 7 層內容設定檔第 7 層應用程式識別碼會設定於內容設定檔中。 分散式防火牆分散式防火牆隨附了防火牆規則的預先定義類別。您可以使用類別來組織安全性原則。 閘道防火牆閘道防火牆代表實施於周邊防火牆的規則。 適用於 vSphere Distributed Switch 的分散式安全性您可以安裝僅適用於 vSphere Distributed Switch (VDS) 的分散式安全性。換句話說,您可以在 VDS 上安裝分散式安全性,而無需部署 NSX 虛擬分散式交換器 (N-VDS)。 端點保護NSX-T Data Center 可讓您插入第三方合作夥伴服務作為個別的服務虛擬機器,以提供端點保護服務。合作夥伴服務虛擬機器會根據 NSX-T Data Center 管理員所套用的端點保護原則規則,處理來自客體虛擬機器的檔案、程序和登錄事件。 東西向網路安全性 - 鏈結第三方服務合作夥伴向 NSX-T Data Center 登錄網路服務 (例如入侵偵測系統或入侵防護系統 (IDS/IPS)) 後,身為管理員的您可以設定網路服務,來自我檢查在內部部署資料中心中虛擬機器之間傳輸的東西向流量。 南北向網路安全性 - 插入第三方服務NSX-T Data Center 提供在資料中心的第 0 層或第 1 層路由器上插入第三方服務的功能,以將流量重新導向至第三方服務進行自我檢查。僅支援 ESXi 主機部署南北向服務虛擬機器。不支援 KVM 主機。 網路自我檢查設定本節包含設定網路自我檢查的設定。 NSX IDS/IPS 和 NSX 惡意程式碼防護NSX 入侵偵測及防護服務 (IDS/IPS) 會根據一組已知的入侵偵測特徵碼,來比較流量,藉以監控東西向流量和南北向流量,以便偵測惡意流量模式。NSX 惡意程式碼防護會從東西向流量和南北向流量中擷取檔案,並分析這些檔案,以瞭解惡意行為。 NSX Network Detection and Response 為了保護您的網路環境以防禦 MITRE ATT&CK 技術,VMware NSX® Network Detection and Response™ 會使用從網路流量分析、入侵偵測和防護以及 NSX Data Center 中提供的網路沙箱引擎中收到的訊號。NSX Network Detection and Response 提供了雲端架構,可讓您的安全作業團隊能夠全面了解穿過邊界的流量 (南北向) 以及在網路邊界內橫向移動的流量 (東西向)。 以時間為基礎的防火牆原則安全管理員可以使用時間範圍,以針對特定期間限制來自某個來源或前往某個目的地的流量。 對防火牆進行疑難排解本節提供對防火牆問題進行疑難排解的相關資訊。 裸機伺服器安全性保護在 Windows Server 2016 裸機伺服器上執行的工作負載。 一般安全性設定