posted

0 Comments

NSX 分布式防火墙更加智能,配置起来也更加灵活,管理员可以根据虚拟机名字、虚机的操作系统、虚机属性来定义安全组,规定只有同一安全组的虚机才可以相互访问,这些虚机就像连接在同一个物理网段上,这个虚拟的网段称之为“微分段 (Micro Segementation)”。实际上,这些虚机可能是分布在不同物理服务器上的,这些物理服务器可能位于不同的物理网段,微分段在虚拟网络上把这些虚机与其他网络相隔离。

我们可以利用微分段在数据中心内部对虚机进行隔离,把不同业务部门的虚拟服务器分隔在不同的微分段里,在虚拟网络层面上,跨微分段的访问是绝对不可能发生的。在同一微分段内部,我们还可以根据业务需要在虚机之间设立防火墙,确保虚机之间只有进行必须的网络通信,从而最大限度地提高了虚拟服务器的安全性。

微分段有效隔离不同部门的虚机

 

采物理方式来实现微分段效果的话,就需要在物理网络上把物理服务器进行隔离,并且东西向流量都必须经过防火墙,需要在数据中心内部增加防火墙设备,成本会比较高。一旦要调整某些虚拟机的功能,就要对网络架构进行相关的调整,是一个费时又费力的过程,很难对业务部门的需要做出快速响应。

桌面虚拟化是微分段的另一个典型应用场景。传统的物理 PC 机都是部署在数据之外的办公室内的,实行桌面虚拟化之后,虚拟桌面都被挪到了数据中心内部运行。因为传统数据中心的安全防护主要在边界上,对于数据中心内部的网络通信一般没有控制,如果有黑客攻陷了某个虚拟桌面,或是有人居心不良,在数据中心内部攻击其他的虚拟桌面和虚拟服务器就会容易很多,因为根本没有这方面的安全防护措施。

桌面虚拟化给数据中心带来新的安全风险

 

采用硬件防火墙可以防护上面提到的风险,但是要求所有的访问路径都必须经过防火墙,对于虚拟桌面的访问本来就是来自于外部的,这不是一个问题;但是任何从虚拟桌面到内部系统的访问就要绕道防火墙了,任何内部虚机之间的访问也要通过防火墙,这就使防火墙成为一个瓶颈,影响到数据访问的效率。

 

微分段可以很好地解决这个问题,管理员可以利用微段把虚拟桌面与数据中心的其他对象隔离开来,让虚拟桌面无法访问数据中心的其他服务器。NSX 还可以与第三方解决方案相集成,在虚拟桌面上实现防病毒、恶意软件防护等功能。