虛擬網路層包括虛擬網路介面卡、虛擬交換器、分散式虛擬交換器，以及連接埠和連接埠群組。ESXi 依賴虛擬網路層來支援虛擬機器與其使用者之間的通訊。此外，ESXi 可使用虛擬網路層與 iSCSI SAN 和 NAS 儲存區等進行通訊。

vSphere 包含安全網路基礎結構所需的完整陣列功能。您可以分別保護基礎結構的每個元素，例如虛擬交換器、分散式虛擬交換器和虛擬網路介面卡。此外，請考慮確保 vSphere 網路安全中詳細介紹的準則。

隔離網路流量

隔離網路流量對於保護 ESXi 環境的安全至關重要。不同的網路需要不同的存取權和隔離層級。管理網路將用戶端流量、命令列介面 (CLI) 或 API 流量以及第三方軟體流量與一般流量隔離。確保此管理網路只能由系統、網路和安全管理員存取。

請參閱 ESXi 網路安全性建議。

使用防火牆保護虛擬網路元素的安全

您可以開啟和關閉防火牆連接埠，並分別保護虛擬網路中的每個元素。針對 ESXi 主機，防火牆規則將服務與對應的防火牆相關聯，從而可以根據服務狀態來開啟和關閉防火牆。

您也可以明確開啟 vCenter Server 執行個體上的連接埠。

如需 VMware 產品 (包括 vSphere 和 vSAN) 中所有支援的連接埠和通訊協定的清單，請參閱 VMware Ports and Protocols Tool™，網址為 https://ports.vmware.com/。可以依 VMware 產品搜尋連接埠、建立自訂連接埠清單，以及列印或儲存連接埠清單。

考量網路安全性原則

網路安全性原則可提供流量保護，防止 MAC 位址模擬和不需要的連接埠掃描。標準交換器或分散式交換器的安全性原則會在網路通訊協定堆疊的第 2 層 (資料連結層) 實作。安全性原則的三大要素分別是混合模式、MAC 位址變更和偽造的傳輸。

如需相關指示，請參閱 vSphere 網路說明文件。

保護虛擬機器網路的安全

您用於保護虛擬機器網路安全的方法取決於多個因素，包括：

• 安裝的客體作業系統
• 虛擬機器是否在信任的環境中運作。

與其他一般的安全性措施 (例如，安裝防火牆) 搭配使用時，虛擬交換器和分散式虛擬交換器提供重要保護。

請參閱 確保 vSphere 網路安全。

考量使用 VLAN 來保護環境

ESXi 支援 IEEE 802.1q VLAN。VLAN 可讓您將實體網路分段。您可以使用 VLAN 來進一步保護虛擬機器網路或儲存區組態。當您使用 VLAN 時，同一實體網路中的兩個虛擬機器無法相互收發封包，除非位於相同的 VLAN 上。

請參閱 透過 VLAN 保護虛擬機器的安全。

保護虛擬化儲存區的連線安全

虛擬機器會在虛擬磁碟上儲存作業系統檔案、應用程式檔案和其他資料。對於虛擬機器，每個虛擬磁碟都顯示為已連線至 SCSI 控制器的 SCSI 磁碟機。虛擬機器與儲存區詳細資料相互隔離，無法存取虛擬磁碟所在 LUN 的相關資訊。

虛擬機器檔案系統 (VMFS) 是為 ESXi 主機提供虛擬磁碟區的分散式檔案系統和磁碟區管理員。您將負責保護儲存區的連線安全。例如，如果您使用的是 iSCSI 儲存區，可以將環境設定為使用 CHAP。如果公司原則需要，您可以設定相互 CHAP。使用 vSphere Client 或 CLI 設定 CHAP。

請參閱 儲存區安全性最佳做法。

評估 IPSec 的使用情況

ESXi 支援針對 IPv6 使用 IPSec。您無法針對 IPv4 使用 IPSec。

請參閱 網際網路通訊協定安全性。