VMware NSX 4.1.2.5 - 网络安全虚拟化平台

标签：网关 4.1 网络 NSX Build VMware

构建具有网络连接和安全性的云智能网络，跨多种云环境支持一致的策略、运维和自动化

请访问原文链接：https://sysin.org/blog/vmware-nsx-4/ 查看最新版。原创作品，转载请保留出处。

作者主页：sysin.org

网络虚拟化平台

VMware NSX

使用 VMware NSX，通过单一窗口像管理单个实体一样管理整个网络。

VMware NSX 提供了一个敏捷式软件定义基础架构，用来构建云原生应用程序环境

NSX 概览

VMware NSX® 是一个支持 VMware 云网络解决方案的网络虚拟化和安全性平台，能够以软件定义的方式构建跨数据中心、云环境和应用框架的网络。借助 NSX，无论应用是在虚拟机 (VM)、容器还是在物理服务器上运行，都能够使应用具备更完善的网络连接和安全能力。与虚拟机的运维模式类似，可独立于底层硬件对网络进行置备和管理 (sysin)。NSX 通过软件方式重现整个网络模型，从而实现在几秒钟内创建和置备从简单网络到复杂多层网络的任何网络拓扑。用户可以创建多个具有不同要求的虚拟网络，利用由 NSX 或范围广泛的第三方集成（从新一代防火墙到高性能管理解决方案）生态系统提供的服务组合构建本质上更敏捷、更安全的环境。然后，可以将这些服务延展至同一云环境内部或跨多个云环境的各种端点。

主要优势

通过自动化将网络置备时间从数天缩短至数秒并提高运维效率。
利用工作负载级微分段、工作负载级高级威胁防护和精细安全机制保护应用。
在不同的数据中心和原生公有云内，以及跨不同的数据中心和原生公有云之间，以独立于物理网络拓扑的方式，对网络和安全策略进行统一管理。
能够详尽显示应用拓扑状况、自动生成安全策略建议以及持续进行流监控。
采用内置的全分布式威胁防护引擎，支持对东西向流量的高级横向威胁防护。

应用场景

安全性
NSX 有助于在私有云和公有云环境中高效实现对应用的零信任安全保护。无论目标是锁定关键应用、以软件方式创建逻辑隔离区 (DMZ)，还是减小虚拟桌面环境的受攻击面，NSX 都可以通过微分段在单个工作负载级别定义和强制实施网络安全策略。
多云网络
NSX 提供网络虚拟化解决方案，可跨异构站点以一致的方式实现网络连接和安全性，从而精简多云运维。因此，NSX 可支持多种多云应用场景，从无缝数据中心扩展到多数据中心池化，再到工作负载快速移动。
自动化
通过将网络和安全服务虚拟化，NSX 可以突破手动管理式网络和安全服务及策略的瓶颈，从而可以更快速地置备和部署全栈应用。NSX 与云管理平台和其他自动化工具（例如 vRealize Automation/vRealize Automation Cloud、Terraform、Ansible 等）原生集成，开发人员和 IT 团队能够按照业务要求的速度置备、部署和管理应用。
云原生应用的网络连接和安全性
NSX 为容器化应用和微服务提供集成式全栈网络连接和安全性，从而可以在开发新应用时针对每个容器提供精细策略。这可为微服务实现容器间的原生 L3 网络连接和微分段功能，并跨新旧应用提供网络连接和安全策略的端到端可见性。

VMware NSX 版本

Professional 版
适用于需要敏捷的自动化网络连接及微分段功能，并且可能具有公有云端点的企业。
Advanced 版
适用于以下企业：需要 Professional 版功能及高级网络和安全服务，与范围广泛的生态系统集成，且可能拥有多个站点。
Enterprise Plus 版
适用于这样的企业：需要 NSX 提供的最先进的功能 (sysin)，以使用 vRealize Network Insight 执行网络运维、通过 VMware HCX® 实现混合云移动性，以及借助 NSX Intelligence 实现流量可见性和安全运维。
Remote Office Branch Office (ROBO) 版
适用于要对远程办公室或分支机构中的应用进行网络连接和安全虚拟化改造的企业。

新增功能

VMware NSX 4.1.2.5 | 30 JUL 2024 | Build 24150840

NSX 4.1.2.5 是一个更新版本，包含错误修复和安全更新。请参阅官方发行说明中的 “已解决的问题”，不在列出。

VMware NSX 4.1.2.4 | 14 MAY 2024 | Build 23786733

NSX 4.1.2.4 是一个更新版本，包含错误修复和安全更新。请参阅官方发行说明中的 “已解决的问题”，不在列出。

VMware NSX 4.1.2.3 | 12 MAR 2024 | Build 23382408

NSX 4.1.2.3 是一个更新版本，包含错误修复和安全更新。请参阅官方发行说明中的 “已解决的问题”，不在列出。

VMware NSX 4.1.2 | 17 October 2023 | Build 22589037

NSX 4.1.2 提供了各种新功能，为私有云、公有云和多云的虚拟化网络和安全提供了新功能。亮点包括以下重点领域的新功能和增强功能：

GRE 隧道- NSX 4.1.2 在默认第 0 层网关和第 0 层 VRF 网关中引入了对 GRE 隧道的支持 (sysin)。GRE 隧道支持动态路由 (BGP) 和静态路由。
第 0 层 VRF 网关上的 VPN 支持 - 在 VRF 之上使用 VPN。
分布式 IDS/IPS 数据包捕获 - VMware NSX 4.1.2 支持通过分布式 IDS/IPS 配置文件启用的数据包捕获功能，用于捕获签名触发器上的流量。

此外，产品的各个领域还添加了许多其他功能。更多详情请见下文。

二层网络：

编辑默认上行链路配置文件：此功能允许在默认上行链路配置文件中修改覆盖 VLAN。

第三层网络：

GRE 隧道：NSX 4.1.2 在默认第 0 层网关和第 0 层 VRF 网关中引入了对 GRE 隧道的支持 (sysin)。GRE 隧道支持动态路由 (BGP) 和静态路由。

边缘平台：

调试 Edge 平台上的数据包丢失：VMware NSX 4.1.2 为您提供了一个工具，可以更好地定义数据包丢失出现的位置以及 Edge 平台是否正在丢失数据包。可以对每个流进行粒度过滤。

物理服务器：

裸机服务器支持 Windows Server 上的 Bond 接口：当裸机服务器运行 Windows 操作系统时，VMware NSX 4.1.2 支持 Bond 接口。

入侵检测和预防 (IDS/IPS)：

分布式 IDS/IPS 数据包捕获：VMware NSX 4.1.2 支持通过分布式 IDS/IPS 配置文件启用的数据包捕获功能 (sysin)，用于捕获签名触发器上的流量。

分布式防火墙：

FQDN 过滤：FQDN 过滤支持额外的正则表达式功能，以更精细地显示 FQDN 主机名。

网络检测和响应 (NDR)：

网络检测和响应现在适用于延伸和非延伸网段上的联合本地管理器。

分布式恶意软件检测和预防：

分布式恶意软件检测和预防现在适用于延伸和非延伸段上的联合本地管理器。将其与 VMware Cloud Foundation 和 vSphere Site Recovery Manager (SRM) 结合使用，可实现强大的灾难恢复解决方案，保护跨站点的工作负载。

注意： 必须从本地管理器 UI 部署和配置 NSX 恶意软件。

通过为 NSX 技术支持包提供 SVM 运行状况日志来增强故障排除功能。

安装与升级：

新的 RO 内存检查可验证 NSX 就地升级的主机运行状况。
轻松访问针对 NSX 就地升级常见问题的综合故障排除信息。
用户体验改进，使 NSX 安装期间的传输节点配置文件配置更加轻松。

操作和监控：

添加警报以在 NSX Manager、Edge 和主机节点上未配置远程日志记录时发出警报。远程日志记录对于长期保留日志非常有用。
添加了策略 API，用于检索 CLI 命令 getphysical-port 'fp-ethN' xstats/stats verbose 上可用的边缘物理端口统计信息。

VPN：

第 0 层 VRF 网关上的 VPN 支持：VPN 可以在 VRF 之上使用。

平台安全：

NSX Manager 现在支持最高版本的传输层安全性 TLS v1.3，用于 Web 和 API 通信。

规模：

NSX 支持的最大规模有多项更新。

多租户：

NSX 项目的 Terraform 支持：NSX Terraform 提供程序正在添加对项目上下文中的项目和配置的支持 (sysin)。这允许通过 Terraform 但在租户（项目）内使用 NSX。
租户感知日志记录：项目/VPC 中使用短 ID 的日志标签已扩展为包括路由和服务日志（如 NAT、Edge 数据路径）。此外，还可以将 Tier-0/VRF 专用于项目，以便用项目短 ID 标记其日志（Tier-0/VRF 的配置仍由企业管理员决定）。

网关防火墙：第 0 层网关上的 L7 AppID 支持：