虛擬網路層包括虛擬網路介面卡、虛擬交換器、分散式虛擬交換器,以及連接埠和連接埠群組。ESXi 依賴虛擬網路層來支援虛擬機器與其使用者之間的通訊。此外,ESXi 可使用虛擬網路層與 iSCSI SAN 和 NAS 儲存區等進行通訊。
vSphere 包含安全網路基礎結構所需的完整陣列功能。您可以分別保護基礎結構的每個元素,例如虛擬交換器、分散式虛擬交換器和虛擬網路介面卡。此外,請考慮確保 vSphere 網路安全中詳細介紹的準則。
隔離網路流量
隔離網路流量對於保護 ESXi 環境的安全至關重要。不同的網路需要不同的存取權和隔離層級。管理網路將用戶端流量、命令列介面 (CLI) 或 API 流量以及第三方軟體流量與一般流量隔離。確保此管理網路只能由系統、網路和安全管理員存取。
請參閱ESXi 網路安全性建議。
使用防火牆保護虛擬網路元素的安全
您可以開啟和關閉防火牆連接埠,並分別保護虛擬網路中的每個元素。針對 ESXi 主機,防火牆規則將服務與對應的防火牆相關聯,從而可以根據服務狀態來開啟和關閉防火牆。
您也可以明確開啟 vCenter Server 執行個體上的連接埠。
如需 VMware 產品 (包括 vSphere 和 vSAN) 中所有支援的連接埠和通訊協定的清單,請參閱 VMware Ports and Protocols Tool™,網址為 https://ports.vmware.com/。可以依 VMware 產品搜尋連接埠、建立自訂連接埠清單,以及列印或儲存連接埠清單。
考慮網路安全性原則
網路安全性原則可提供流量保護,防止 MAC 位址模擬和不需要的連接埠掃描。標準交換器或分散式交換器的安全性原則會在網路通訊協定堆疊的第 2 層 (資料連結層) 實作。安全性原則的三大要素分別是混合模式、MAC 位址變更和偽造的傳輸。
如需相關指示,請參閱vSphere 網路說明文件。
保護虛擬機器網路的安全
- 安裝的客體作業系統
- 虛擬機器是否在信任的環境中運作
請參閱確保 vSphere 網路安全。
考慮使用 VLAN 來保護環境
ESXi 支援 IEEE 802.1q VLAN。VLAN 可讓您將實體網路分段。您可以使用 VLAN 來進一步保護虛擬機器網路或儲存區組態。當您使用 VLAN 時,同一實體網路中的兩台虛擬機器無法相互收發封包,除非位於相同的 VLAN 上。
保護虛擬化儲存區的連線安全
虛擬機器會在虛擬磁碟上儲存作業系統檔案、應用程式檔案和其他資料。對於虛擬機器,每個虛擬磁碟都顯示為已連線至 SCSI 控制器的 SCSI 磁碟機。虛擬機器與儲存區詳細資料相互隔離,無法存取虛擬磁碟所在 LUN 的相關資訊。
虛擬機器檔案系統 (VMFS) 是為 ESXi 主機提供虛擬磁碟區的分散式檔案系統和磁碟區管理員。您將負責保護儲存區的連線安全。例如,如果您使用的是 iSCSI 儲存區,可以將環境設定為使用 Challenge Handshake 驗證通訊協定 (CHAP)。如果公司原則需要,您可以設定相互 CHAP。使用 vSphere Client 或 CLI 設定 CHAP。
請參閱儲存區安全性最佳做法。
評估網際網路通訊協定安全性的使用
ESXi 透過 IPv6 支援網際網路通訊協定安全性 (IPSec)。您無法針對 IPv4 使用 IPSec。