若要利用所有 NSX 安全性功能,您必須在內部部署環境中部署 NSX 管理平面。
安裝 NSX-T 後,需為系統設定不同的安全性功能。本指南中的工作流程包括設定安全性功能必要的最少部署和組態指示。如需有關每項功能的詳細指示,請參閱《NSX-T Data Center 安裝指南》和《NSX-T Data Center 管理指南》。
NSX Firewall - 適用於所有部署選項
NSX Firewall 提供不同的安全控制項 (例如:分散式防火牆、分散式 IDS/IPS、分散式惡意程式碼防護,以及閘道防火牆) 作為選項,以針對不同的部署案例提供防火牆保護。
典型的資料中心可以具有不同的工作負載,例如:虛擬機器、容器、實體伺服器,以及混合了 NSX 所管理和未管理的工作負載。這些工作負載可由基於 VLAN 的網路或基於 NSX 的覆疊網路組成。
下圖彙總了最符合設計要求的不同資料中心部署案例和相關聯的 NSX 防火牆安全控制項。您可以使用同一 NSX Manager 作為單一虛擬管理介面,使用不同的安全控制項,為所有這些不同案例定義安全性原則。
- NSX Managed Workloads with Standard VLAN based Networking:
NSX 分散式防火牆功能可用來保護 NSX 管理之虛擬機器和實體伺服器的工作負載。
- NSX Managed Workloads with NSX Overlay for Networking:
- 從東西向流量角度來看,NSX 分散式防火牆可用來保護 NSX 管理之虛擬機器、容器 (使用 NSX Container Plug-in) 和實體伺服器的工作負載。這可用於同時具有 L3-L7 防火牆和 IDS/IPS 功能的區域分割、應用程式分割和微分割。
- 從南北向角度來看,NSX 閘道防火牆可以與分散式防火牆一起作為承租人之間/區域之間的防火牆。
- Non-NSX Managed Workloads on Traditional VLAN based Network:
NSX 閘道防火牆功能可以提供 VLAN 之間的路由和防火牆保護。NSX 第 1 層閘道上的服務介面或第 0 層閘道上的外部介面,會作為所有非 NSX 管理之 VLAN 工作負載的閘道和防火牆。
基本部署工作流程
動作 | 說明 | 詳細資料 |
---|---|---|
部署 NSX 管理平面 |
|
部署 NSX 管理平面 |
設定 NSX 分散式安全性 |
|
準備分散式安全性 |
設定 NSX 閘道安全性 |
|
準備提供閘道安全性 |
本指南未涵蓋 NSX Firewall 支援的進階功能。如需有關每項功能的詳細指示,請參閱《NSX-T Data Center 管理指南》。