虛擬網路層包括虛擬網路介面卡、虛擬交換器、分散式虛擬交換器,以及連接埠和連接埠群組。ESXi 依賴虛擬網路層來支援虛擬機器與其使用者之間的通訊。此外,ESXi 可使用虛擬網路層與 iSCSI SAN 和 NAS 儲存區等進行通訊。
vSphere 包含安全網路基礎結構所需的完整陣列功能。您可以分別保護基礎結構的每個元素,例如虛擬交換器、分散式虛擬交換器和虛擬網路介面卡。此外,請考慮確保 vSphere 網路安全中詳細介紹的準則。
- 隔離網路流量
- 隔離網路流量對於保護 ESXi 環境的安全至關重要。不同的網路需要不同的存取權和隔離層級。管理網路將用戶端流量、命令列介面 (CLI) 或 API 流量以及第三方軟體流量與一般流量隔離。確保此管理網路只能由系統、網路和安全管理員存取。
- 使用防火牆保護虛擬網路元素的安全
- 您可以開啟和關閉防火牆連接埠,並分別保護虛擬網路中的每個元素。針對 ESXi 主機,防火牆規則將服務與對應的防火牆相關聯,從而可以根據服務狀態來開啟和關閉防火牆。
- 考量網路安全性原則
- 網路安全性原則可提供流量保護,防止 MAC 位址模擬和不需要的連接埠掃描。標準交換器或分散式交換器的安全性原則會在網路通訊協定堆疊的第 2 層 (資料連結層) 實作。安全性原則的三大要素分別是混合模式、MAC 位址變更和偽造的傳輸。
- 保護虛擬機器網路的安全
-
您用於保護虛擬機器網路安全的方法取決於多個因素,包括:
- 安裝的客體作業系統
- 虛擬機器是否在信任的環境中運作。
- 考量使用 VLAN 來保護環境
- ESXi 支援 IEEE 802.1q VLAN。VLAN 可讓您將實體網路分段。您可以使用 VLAN 來進一步保護虛擬機器網路或儲存區組態。當您使用 VLAN 時,同一實體網路中的兩個虛擬機器無法相互收發封包,除非位於相同的 VLAN 上。
- 保護虛擬化儲存區的連線安全
- 虛擬機器會在虛擬磁碟上儲存作業系統檔案、應用程式檔案和其他資料。對於虛擬機器,每個虛擬磁碟都顯示為已連線至 SCSI 控制器的 SCSI 磁碟機。虛擬機器與儲存區詳細資料相互隔離,無法存取虛擬磁碟所在 LUN 的相關資訊。
- 評估 IPSec 的使用情況
- ESXi 支援針對 IPv6 使用 IPSec。您無法針對 IPv4 使用 IPSec。