您可以將 NSX 分散式防火牆 (DFW) 用於宏分割 (安全性區域) 和微分割。分散式防火牆會藉由自動化原則制定,提供完整的 L2-L7 東西向可見性和強制執行。它適用於 ESXi 上的實體伺服器和虛擬機器,並且無需變更實體網路。藉由使用 DFW,可以任何所需的方式進行分割。共有四種基本類型的分割,其中很多類型可以共存,每一種分割可套用於環境中的不同區段。
- 區域分割:一般而言,區域分割可以將生產與非生產用途分開,也可以依業務單位、功能或產品供應項目,進行更詳細的分割。關鍵在於,所定義的每個區域都與區段、VLAN、資料中心或其他建構無關。區域完全是邏輯定義,可用來定義安全性原則。
- VLAN 分割:VLAN 分割最常用於取代傳統防火牆基礎架構。在此模型中,IP 區段是安全性原則來源或目的地的定義元素。
- 應用程式分割:應用程式分割用來定義有關應用程式的邏輯安全環。由於通常不會詳細瞭解應用程式,因此可便於只為給定應用程式定義一個標記,將這個標記套用至其所有元件,並允許在所述元素之間進行完整通訊。這比具有多個應用程式的大型區域定義更加安全,因為無需詳細瞭解微分割。
- 微分割:微分割是一種安全模型,其中已盡可能明確定義元素之間的通訊。在極端情況下,微分割可以明確定義配對元素之間的通訊。顯然地,這操作起來很複雜,因此 NSX 會根據標記來提供微分割,從而允許依群組進行明確定義。例如,您可以定義一條規則,該規則允許對所標記的安全 Web 伺服器使用 SSL,但只允許使用 TLS 1.3 版。根據組織的需求,您可以在不同的區域中對這每一種做法進行分割。
利用 NSX,所有這些分割方法都不具有排他性,而可以共存。您可以決定在區域模型中對實驗室進行分割,這只需在其周圍設定邊界,並在微分割中設定 DMZ 環境即可。您可以僅依應用程式,對非生產環境進行分割,也可以使用 VLAN 對包含敏感客戶資料的生產應用程式進行進一步分割。將一種安全模型變更為另一種安全模型,可透過簡單的原則推送來完成,而無需重新構建任何網路基礎架構。