簡介
vCloud在路由器邊界區域對流入流出數據進行過濾的套用是基於VMware虛擬數據中心防禦圈的第一個關鍵層。這種方法不僅顯著提高了安全性,而且通過去除不必要的流量減少了數據中心的流量負載。
但是,在網路安全性方面是不存在仙丹靈藥的;簡單而言就是沒有哪一種安全產品或技術是萬能的。長久以來,整個行業已經認識到一個分層的託管安全實施是確保企業及其系統安全性的最佳方法。
在本文中,我將介紹一下企業可以如何使用VMware防火牆技術的套用來增強分層縱深戰略的。
安全性
目前的vCloud網路與安全產品包括了vShield Edge、vShield App以及vShield Data Security。其中涉及的安全組件如下:
·vCloud Networking and Security Edge (即之前的vShield Edge)
·vCloud Networking and Security App (即之前的vShield App)
·vCloud Networking and Security Data Security (即之前的vShield Data Security)
外圍保護
我們首先從數據中心的外圍開始,使用vCloud Networking and Security Edge來提供“信任區”分割。這可以是在一個多租戶環境中以租戶之間的隔離為寬度,或者在一個單一租戶環境中以DMZ和/或VPNextranet隔離為粒度。
基於vCloud Networking and Security Edge的防火牆過濾要優於普通的IP位址過濾。
除了超出預期的過濾功能以外,vCloud Networking and Security Edge的其他可用功能還包括眾多數據中心周邊所預期的通用服務:
·DHCP(從一個預定義的資源池中為一台伺服器動態分配或綁定一個特定的地址)
·VPN (IPsec和SSL)
·NAT(靜態和動態)
·負載平衡(基本的HTTP(80)和HTTPS(443)負載平衡)