強子，我兄弟被勒索了！

「嗡~嗡~嗡~嗡~嗡~」

拿起手機一看，哎呦！久違的陳主任。

我趕緊按了接聽，一個「喂」字還沒吐出來，就被那邊急促的聲音打斷。

「強子！強子！強子！我有重要的事情跟你說！」陳主任的聲帶似乎上了發條，語氣聽起來非常著急。

「喲，陳主任，這麼急找我，是不是上次超融合的預算批下來了？」

「被……被勒索了……」

哎，我就納了悶了，戴爾易安信什麼時候發展了解決勒索問題的業務呢？

「陳主任，我非常同情你的遭遇，遇到這種情況，我有兩個解決方案。

1.接到電話後，果斷掛掉，並將此號碼標記為「騷擾電話」（我經常是這麼做的）；2.如果情節惡劣，請直接撥打「妖妖零」。

「不，不是我，是我兄弟公司，被勒索病毒攻擊了，現在所有業務都癱瘓了！」陳主任抬高音調。

真有此事？我趕緊問道：「我記得您說過，這家兄弟公司虛擬化程度挺高，大概有600-700台虛擬機。」

「是的，這個問題很棘手，現在他們也在想辦法解決，不行的話，就只能交巨額勒索金了，但很可能是於事無補。而且我估計這勒索不止一波，萬一其他兄弟公司被感染上就不妙了，得提前做好預防，你們戴爾易安信不是在數據保護方面有很多成功的解決方案嗎。」

陳主任的話讓我沉思了一會，望著窗外的深圳藍，只見天空飄來五個字：

「那都不叫事」。

其實，我腦海飛過的九個字是——

「VMware NSX」

傳統防火牆

傳統的防火牆一般放在數據中心出口處，控制數據中心對外的網路通信。

邊界防火牆（Perimeter Firewall）雖然能夠很好地控制來自於外部的攻擊風險，但是對於數據中心內部的黑客攻擊卻沒有任何的防範措施。就像我們一般都只在小區門口配有保安，但是並不能防止小區內部的住客作案。

惡意軟體往往專挑企業內部不重要的系統下手，因為這類系統優先等級低，安全防護措施弱，相對容易被攻破，得手後再從數據中心內部攻擊其他系統就方便多了。

防火牆位於數據中心邊界

在數據安全方面，很多企業都採用零信任（Zero Trust）機制，假設安全威脅無處不在，即使是在數據中心內部；企業自己的員工也是不可信任的，要盡量限制每個人需要訪問的系統和數據，所以理想情況是在數據中心內部也部署防火牆，從而有效保護每一個系統和應用。

要達到這個效果，需要為每個系統都配上防火牆，但是這樣做成本很高。就像要求小區物業為每一位業主都配備一位專職保安，你願意承擔多出來的那部分成本嗎？所以實際上不可能這麼做。

分散式防火牆

分散式防火牆可以解決這個問題。

採用軟體就可以以較低的成本實現分散式防火牆，這種軟體防火牆存在於每一台物理伺服器的 Hypervisor 內核中，能夠對每一台虛機的網路通訊進行控制，對虛機實現全面的安全保護。

1分散式防火牆有助於提高東西向流量的網路通訊效率

傳統的邊界防火牆能夠比較好地監控南北向流量，雖然也可以用於監控東西向流量，但是會降低數據中心內部的網路通信效率。

在下圖的例子中，即使是位於同一台物理伺服器上的兩個虛機，它們之間通信時，網路數據包需要走出機櫃，去邊界防火牆上繞一圈以後才能到達另一台虛機，經過的網路路由多達 6 跳。

物理伺服器之間的通信也是如此。在右邊圖中，雖然這兩台伺服器連接在同一個交換機上，但是它們之間的網路通信還是要通過機櫃外部的邊界防火牆，網路路由也有 6 跳之多。

解決方案就是，NSX 網路虛擬化方案。通過分散式防火牆來管理東西向流量，因為是完全基於軟體的虛擬防火牆，可以給每一台虛機都配備一台防火牆，同時做到每一道防火牆不同的策略，提高了黑客、病毒攻破防火牆的難度。

雖然防火牆是分散式的，但是它們的管理是集中的，通過統一的管理界面來管理所有的虛擬防火牆，集中配置所有防火牆的安全規則，所以管理上也很簡便。

2分散式防火牆對於東西向流量的管理更為高效

同樣的例子，同一台物理伺服器上的兩台虛機，它們之間的網路通信就可以就近由虛擬防火牆來處理，網路數據包甚至都不需要出物理伺服器，就可以直接通過虛擬交換機傳送到目的地。

位於不同伺服器的虛機之間，網路數據包也可以通過機櫃內部的交換機和內部的虛擬防火牆來傳輸，網路路由從 6 跳降低到了 2 跳，網路傳輸效率大大提高，也有效降低了邊界防火牆的工作負載。

NSX提升防火牆效率

介紹完NSX後，我對陳主任說道：「多道防火牆+簡易操作+完整的生態系統，NSX為虛擬生產提供全面保護，這樣您就可以高枕無憂了。」

陳主任：「NSX的分散式防火牆挺適合我們虛擬化環境的需求，但NSX對物理交換機有要求么？我們現在主要用的是xx牌交換機。」

我呵呵一笑：「只要您的交換機支持MTU 1600就可以，而且NSX弱化了對物理交換機的品牌以及功能要求，未來網路規劃會更加靈活。我們戴爾易安信就有支持NSX的網路產品，以後您只需要一個電話就可以解決伺服器、網路和存儲的問題，多方便呀。另外NSX的功能不止於此……」

陳主任：「這樣，你明天到我這裡，給我好好講講NSX的其他功能，我現在還要看看兄弟公司勒索問題解決了沒，得提前做好規劃，避免勒索事件再次發生。」

我趕緊接茬道：「對，預防勝於治療，光有防還不夠，我們還要做好備份，對此戴爾易安信有DP4400+DD3300的虛擬化備份方案。」

嘟嘟嘟……（電話斷了）

看陳主任急的，等我明天去他那裡，再給他好好講講NSX、交換機和備份方案的事情。

喜歡這篇文章嗎？立刻分享出去讓更多人知道吧！