NSX网络与安全解决方案简介

普遍性、精确度和动态安全必须融入数据中心的 DNA 中VMware NSX® 网络虚拟化平台可提供诸多突破性益处，微分段便是其中之一。

NSX 可创建一个独立于底层 IP 网络硬件的虚拟网络。

管理员能够以编程方式对复杂网络执行创建、调配、拍摄快照、删除和还原操作，而且这一切都能以软件方式实现。

VMware 将微分段描述为一种“将安全机制植入网络的 DNA 中”的能力。

就好比在分子或细胞级别对植物进行工程设计，使之有能力抵御病虫害。

因为 hypervisor 已在数据中心内广泛分布，所以您可以通过 VMware NSX 在任意位置创建策略来保护任意数据，让安全真正无所不在。

从某种意义上说，物理安全就像戴上手套来防范细菌。

这是外在的、有限的保护措施（如果有人对着您的脸打喷嚏，您可能还是会感冒或染上流感）。

微分段就像是强化数据中心的免疫系统：让“细菌”（即恶意软件）对它无能为力。

或者，如果有漏网之鱼，该系统会在该恶意软件开始扩散之前就将其关闭。

策略绑定到虚拟机，执行效力可向下延伸至虚拟网卡 (NIC)，这种精确度是传统的硬件设备无法比拟的。

您也可以使用灵活的参数来定义安全策略，例如虚拟机名称、工作负载类型和客户操作系统类型。

微分段无比强大且易于添加的七个原因1. 无需更换您目前拥有的设施，亦不会对其造成不利影响VMware NSX 可在任意网络硬件上运行，因此您无需购买或更换任何设备。

此外，NSX 不会给您的计算机和网络基础架构或应用造成中断。

2. 降低不断攀升的硬件成本为处理数据中心内日益增多的工作负载量而部署更多物理设备的成本过于高昂。

仅从资金开销的角度衡量，VMware NSX 可以让企业组织的实际开销节省 68%1。

这一节省比例基于以下估算，即 IT 管理员要实现接近微分段的控制力需要多大的物理防火墙开销。

3. 遏制防火墙规则剧增状况数量激增的防火墙规则是安全管理领域里的一个大问题。

年复一年，管理员积攒了不少不必要的和多余的规则，而且无法使用简单的方法来找出哪些规则是不再需要的。

产品介绍/1VMware NSX™ 是提供虚拟机网络操作模式的领先网络虚拟化平台。

与虚拟机的计算模式相似，虚拟网络以编程方式进行调配和管理，与底层硬件无关。

NSX 可以在软件中重现整个网络模型，使任何网络拓扑（从简单的网络到复杂的多层网络），都可以在数秒钟内创建和调配。

它支持一系列逻辑网络元素和服务，例如逻辑交换机、路由器、防火墙、负载平衡器、VPN 和工作负载安全性。

用户可以通过这些功能的自定义组合来创建隔离的虚拟网络。

• 网络调配时间从数天缩减至数秒• 通过自动化功能提高运营效率• 可独立于物理拓扑分配和移动工作负载• 可以部署在任何虚拟化管理程序上并通过任何云计算管理平台使用• 可通过标准 API 实现与第三方网络和安全解决方案的集成• 通过现有的物理网络或下一代拓扑实现无中断部署数据中心网络连接难题当前网络和安全解决方案极不灵活并且十分复杂，通常是由某个特定供应商提供。

这使实现软件定义数据中心的完全敏捷性成本极为昂贵。

在当前运营模型中，网络调配很慢，并且工作负载分配和移动受物理拓扑和手动调配的限制。

物理网络连接和安全方面的限制将日益活跃的虚拟世界重新束缚到了缺乏灵活性的专用硬件上，人为地阻碍了网络体系结构和容量利用率的优化。

手动调配和杂乱无章的管理界面降低了效率，限制了企业根据业务需要快速部署、移动、扩展和保护应用及数据的能力。

VMware NSXVMware NSX 通过提供全新的网络运营模型，解决了这些数据中心难题。

该模型突破了当前物理网络障碍并且允许数据中心操作员将敏捷性和经济性提高若干数量级。

VMware NSX 提供了一整套简化的逻辑网络连接元素和服务，包括逻辑交换机、路由器、防火墙、负载平衡器、VPN 、服务质量、监控和安全保护。

这些服务可以在虚拟网络中通过基于 NSX API 的任何云计算管理平台进行调配，并且可以安排在任何隔离和多租户拓扑中。

虚拟网络可以通过任何现有的网络进行无中断部署，并且可以部署在任何虚拟化管理程序上。

网络安全nsx网络安全（Network Security）是指在网络通信中保护计算机网络基础设施免遭未授权访问、非法传输、破坏或篡改的一系列措施和技术。

随着互联网的发展，网络安全问题也日益成为人们关注的焦点，因此在网络中保障信息的安全以及防止网络攻击已经成为每个人的责任。

首先，网络安全的威胁主要分为两大类别：内部威胁和外部威胁。

内部威胁是指来自网络内部的威胁，如员工故意或不经意的破坏行为、员工的密码泄露等。

外部威胁则是指来自网络外部的威胁，如黑客攻击、病毒、木马、钓鱼等。

针对这些威胁，网络安全需要采取一系列的技术手段来进行防御和保护。

其次，网络安全的技术手段主要包括防火墙、入侵检测系统（IDS）、入侵防御系统（IPS）、加密技术等。

防火墙是网络安全的第一道防线，通过限制外部网络和内部网络之间的通信，保护内部网络不受到攻击。

入侵检测系统通过监控网络流量、系统日志等来检测异常的行为并报警。

入侵防御系统可以在检测到入侵行为时自动对其进行防御并封堵漏洞。

加密技术可以对数据进行加密传输，防止信息被窃取和篡改。

此外，用户个人也需要采取一些措施来保护自己的网络安全。

首先，要使用强密码，并定期更换密码。

其次，不要随便点击陌生的链接或下载未知的软件，以免中毒或遭受钓鱼攻击。

再次，定期更新操作系统和常用软件的补丁，以及安装杀毒软件和防火墙，确保自己的设备始终处于最新的安全状态。

最后，保护好自己的个人隐私，不要随意泄露个人信息，尤其是银行卡号、密码等重要信息。

总结起来，网络安全是每个人都需要关注和重视的问题。

无论是个人用户还是企业组织，都需要采取相应的措施和技术手段来保障网络的安全性。

只有充分认识到网络安全的重要性，并采取有效的防护措施，我们才能更好地享受网络所带来的便利和快捷。

在NSX上集成第三方高级安全服务一、为什么要集成第三方服务？（1）利用现有网络资源，延续用户使用习惯。

企业的网络环境中经常会存在不同的安全交付厂商的设备或服务，并且已经有了使用习惯和良好的体验。

这时候VMware NSX就需要能够很好的去集成第三方服务，以便于充分利用现有网络资源且延续用户使用习惯。

（2）借助第三方高级安全服务，加强数据中心安全。

NSX网络虚拟化平台在虚拟网络之中只提供了二到四层的防火墙功能。

但是在一些环境中，应用需要更高级别的网络安全策略来保护。

在这种情况下，用户可以利用NSX平台，在其上集成第三方安全厂商的五到七层安全服务，提供更全面更充分的基于应用的解决方案。

二、NetX架构要使用第三方的服务，需要想办法将网络流量重定向给这些服务，同时又要尽量不影响网络性能。

作为一个hypervisor-integrated软件平台，NSX充分利用了hypervisor的集成能力，直接在hypervisor上集成第三方的安全服务。

NSX 采用NetX（Network Extensibility）框架，通过一个或多个服务虚拟机（SVM）来指定特定流量的重定向。

这些SVM不通过典型的网络堆栈接收网络流量，他们直接通过虚拟机hypersivor的消息传递通道进行消息传递。

可以在NSX Service Composer中以策略驱动的方式定义哪些流量被重定向到第三方服务。

用户使用NSX Manager创建服务配置文件，NSX Manager会将服务实例、服务配置文件和服务配置文件规则发送给VSFWD（RabbitMQ客户端，与NSX Manager通信）。

VSFWD进程将配置VSIP内核模块。

具体如下图所示：图1 NetX架构三、与第三方集成的方案NSX将第三方网络安全服务集成在虚拟网络中，通过逻辑的通道发布至vNIC接口（具体见NetX架构图示），使得在vNIC后端的应用可以使用这些服务。

这种形式的服务集成称为“嵌入、链接与导向”。