一、概述

传统的防火墙一般都是放在数据中心的出口处，控制数据中心对外的网络通信。边界防火墙（Perimeter Firewall）虽然能够很好地控制来自于外部的攻击风险，但是对于数据中心内部的黑客攻击却没有任何的防范措施。因此很多企业都采用零信任（Zero Trust）机制，假设安全威协无处不在，即使是在数据中心内部；企业自己的员工也是不可信任的，要尽量限制每个人需要访问的系统和数据。

要为每个系统都配上防火墙，但是这样做成本很高，而软件形式的分布式防火墙可降低成本实现上述需求，同时也有助于提高东西向流量的网络通讯效率。传统的边界防火墙更优于监控南北向流量，虽然也可以用于监控东西向流量，但是会降低数据中心内部的网络通信效率。分布式防火墙对于东西向流量的管理更为高效。比如，同一台物理服务器上的两台虚机，它们之间的网络通信就可以就近由虚拟防火墙来处理，网络数据包甚至都不需要出物理服务器，就可以直接通过虚拟交换机传送到目的地。位于不同服务器的虚机之间，网络数据包也可以通过机柜内部的交换机和内部的虚拟防火墙来传输，网络路由从 6 跳降低到了 2 跳，网络传输效率大大提高，也有效降低了边界防火墙的工作负载。

在NSX安全解决方案以软件的方式提供和部署2到4层的安全防护，这种软件防火墙存在于每一台物理服务器的 Hypervisor 内核中，能够对每一台虚机的网络通讯进行控制，对虚机实现全面的安全保护。NSX安全解决方案中虽然分布式防火墙是分布式的，但是它们的管理是集中的，通过统一的管理界面来管理所有的虚拟防火墙，集中配置所有防火墙的安全规则。在NSX虚拟化平台中提供了两种防火墙功能：一个是由NSX Edge提供的