虛擬網路層包括虛擬網路介面卡、虛擬交換器、分散式虛擬交換器,以及連接埠和連接埠群組。ESXi 依賴虛擬網路層來支援虛擬機器與其使用者之間的通訊。此外,ESXi 可使用虛擬網路層與 iSCSI SAN 和 NAS 儲存區等進行通訊。

vSphere 包含安全網路基礎結構所需的完整陣列功能。您可以分別保護基礎結構的每個元素,例如虛擬交換器、分散式虛擬交換器、虛擬網路介面卡等。此外,請考慮確保 vSphere 網路安全中詳細介紹的準則。

隔離網路流量

隔離網路流量對於保護 ESXi 環境的安全至關重要。不同的網路需要不同的存取權和隔離層級。管理網路將用戶端流量、命令列介面 (CLI) 或 API 流量以及第三方軟體流量與一般流量隔離。此網路只能從系統、網路和安全管理員存取。

請參閱 ESXi 網路安全性建議

使用防火牆保護虛擬網路元素的安全

您可以開啟和關閉防火牆連接埠,並分別保護虛擬網路中的每個元素。防火牆規則將服務與對應的防火牆建立關聯,從而可以根據服務狀態來開啟和關閉 ESXi 防火牆。

請參閱 ESXi 防火牆組態

考慮網路安全性原則

網路安全性原則可保護流量免受 MAC 位址模擬和有害連接埠掃描的威脅。標準交換器或分散式交換器的安全性原則會在網路通訊協定堆疊的第 2 層 (資料連結層) 實作。安全性原則的三大要素分別是混合模式、MAC 位址變更和偽造的傳輸。

如需相關指示,請參閱《vSphere 網路》說明文件。

保護虛擬機器網路的安全

這些用來保護虛擬機器網路安全的方式取決於所安裝的客體作業系統、虛擬機器是否在受信任環境中執行,以及其他各種因素。與其他一般的安全性措施 (例如,安裝防火牆) 搭配使用,可大大增強虛擬交換器和分散式虛擬交換器的保護作用。

請參閱 確保 vSphere 網路安全

考慮使用 VLAN 來保護環境

ESXi 支援 IEEE 802.1q VLAN,可為虛擬機器網路或儲存區組態提供進一步保護。VLAN 可讓您將實體網路分段,以便讓同一實體網路中的兩台機器無法相互收發封包,除非位於相同的 VLAN 上。

請參閱 透過 VLAN 保護虛擬機器的安全

保護虛擬化儲存區的連線安全

虛擬機器會在虛擬磁碟上儲存作業系統檔案、程式檔案和其他資料。對於虛擬機器,每個虛擬磁碟都顯示為已連線至 SCSI 控制器的 SCSI 磁碟機。虛擬機器與儲存區詳細資料相互隔離,無法存取虛擬磁碟所在 LUN 的相關資訊。

虛擬機器檔案系統 (VMFS) 是為 ESXi 主機提供虛擬磁碟區的分散式檔案系統和磁碟區管理員。您將負責保護儲存區的連線安全。例如,如果您使用的是 iSCSI 儲存區,可透過 vSphere Web Client 或 CLI 將環境設定為使用 CHAP 和相互 CHAP (如果公司原則需要)。

請參閱 儲存區安全性最佳做法

評估 IPSec 的使用情況

ESXi 支援針對 IPv6 使用 IPSec。您無法針對 IPv4 使用 IPSec。

請參閱 網際網路通訊協定安全性

此外,請評估 VMware NSX for vSphere 是否為保護環境中網路層的有效解決方案。