NSX微分段功能一:在异构环境下为工作负载提供东西向安全防护能力,实现零信任的安全模型,为每个VM、容器Pod、祼金属服务器“戴口罩”,安全策略下发到Hypervisor内核,防止威胁的传播,精细化网络安全管理。
NSX微分段功能二:在不改变现网架构的基础上,灵活插入微分段安全策略,不中断业务,提供VM或容器pod东西向安全隔离。
NSX微分段功能三:环境感知,基于应用环境动态安全分组,可以基于虚拟机的属性,包括不限于虚拟机名称、虚拟机标记、虚拟操作系统类型实现动态安全分组,简化安全策略的运维管理。
NSX微分段功能四:与微软AD集成,实现基于身份的分布式防火墙,通常用于VDI环境和RDSH环境。数据中心的安全管理员可以通过调用登陆到AD的用户信息设定这一用户能够访问业务范围,真正做到使用者到业务的安全防护。一方面,同一服务器上的不同业务间也可以实现了安全隔离。另一方面,直接对业务的访问者进行认证,完全脱离传统的IP和位置的繁琐的安全部署方法论,增强了数据中心的防御体系。
NSX微分段功能五:NSX内置NSX Intelligence,它是一个分布式分析引擎,它利用NSX特有的工作负载和网络上下文,提供了融合的安全策略管理、分析和合规性,并具有数据中心范围内的可视性。提供自动安全策略和安全组推荐,并根据策略推荐结果一键应用至NSX分布式防火墙,这在大规模安全策略部署中非常有用,简化了策略(“口罩”)的部署和人为的错误。
NSX微分段功能六:NSX分布式防火墙微分段支持7层特性,能够识别应用,它内置了企业级应用的APP-ID,安全规则的配置可以基于上下文配置文件实现。可以基于7层APP-ID,仅允许匹配APP-ID的流量通过,而不依赖于端口号。除了 APP-ID,还可以在上下文配置文件中设置完全限定域名 (FQDN) 或 URL 来将 FQDN 加入白名单。可以在上下文配置文件中与 APP-ID 一起配置 FQDN,或者可以在不同的上下文配置文件中设置每个 FQDN。定义上下文配置文件后,即可将其应用于一个或多个分布式防火墙规则。
NSX微分段功能七:在应用的源端直接安全策略匹配,贴近应用执行安全策略,仅授权的流量才能进入物理网络,同一主机内部不同虚拟机之间的安全流量不需要经过物理网络,减轻了物理网络的压力,提升了业务之间的端到端延时。