По России бесплатно
Каталог ПО
Дилерский каталог

VMware NSX Distributed Firewall

Распределенный брандмауэр (DFW) работает в ядре как пакет VIB на всех кластерах хоста ESXi, подготовленных для NSX . Подготовка хоста автоматически активирует DFW на кластерах хостов ESXi.

Фундаментальные ограничения традиционной архитектуры безопасности, ориентированной на периметр, влияют как на состояние безопасности, так и на масштабируемость приложений в современных центрах обработки данных. Например, ограничение трафика через физические брандмауэры по периметру сети создает дополнительную задержку для определенных приложений.

DFW дополняет и усиливает вашу физическую безопасность, удаляя ненужные проблемы с физическими межсетевыми экранами и сокращая объем трафика в сети. Отклоненный трафик блокируется до того, как он покинет хост ESXi. Нет необходимости в том, чтобы трафик проходил через сеть, он должен быть остановлен на периметре физическим межсетевым экраном. Трафик, предназначенный для другой виртуальной машины на том же или другом узле, не должен проходить через сеть до физического брандмауэра, а затем возвращаться обратно на целевую виртуальную машину. Трафик проверяется на уровне ESXi и доставляется на целевую виртуальную машину.

NSX DFW - это межсетевой экран с отслеживанием состояния, то есть он отслеживает состояние активных подключений и использует эту информацию, чтобы определить, какие сетевые пакеты пропускать через межсетевой экран. DFW реализован в гипервизоре и применяется к виртуальным машинам для каждой vNIC. То есть правила брандмауэра применяются на vNIC каждой виртуальной машины. Проверка трафика происходит на vNIC виртуальной машины в тот момент, когда трафик собирается выйти из виртуальной машины и войти в виртуальный коммутатор (исходящий). Проверка также происходит на vNIC, когда трафик покидает коммутатор, но до входа в виртуальную машину (вход).

Виртуальное устройство NSX Manager, виртуальные машины NSX Controller и шлюзы пограничных служб NSX автоматически исключаются из DFW. Если виртуальная машина не требует службы DFW, вы можете вручную добавить ее в список исключений.

Поскольку DFW распространяется в ядре каждого хоста ESXi, емкость брандмауэра масштабируется горизонтально при добавлении хостов в кластеры. Добавление дополнительных хостов увеличивает емкость DFW. По мере расширения вашей инфраструктуры и приобретения дополнительных серверов для управления постоянно растущим числом виртуальных машин емкость DFW увеличивается.
Фильтр:
Все фильтры
Подпишитесь на наш канал!

Сертификат партнёра