为了让安全策略可以更精细化，传统思维是在每个有通讯的业务之间(边界和边界间)加一些防护策略，如果这样的方式使用物理防火墙，那未来网络拓扑图就是上面左图所示，实际，上左图准确应该表述为业务逻辑图，是未来安全策略要达到的效果。真实的防火墙部署应该像右侧一样，在最接近业务系统的地方(虚拟化中即为虚拟机的虚拟网卡)，部署一道防火墙。

右侧，就是真实的 NSX 防火墙的部署图。听众可能会想，这么多防火墙怎么管理？在 NSX 的世界里，所有防火墙都可以统一一个界面管理！即统一管理分布式处理。

实现原理很简单：

1、与每个虚拟机的虚拟网卡最近的位置是vSphere，NSX 的防火墙就运行在每个 vSphere 上面。也就是说，在NSX之后，所有业务流量第一跳经过就是安全设备。

2、统一图形化界面配置所有安全策略，最终安全策略会经过筛选只发放给与其相关的虚拟机。这样的方案既不失管理性，也不会因为全局策略过多导致防火墙性能下降。1000个策略应用给1000个虚拟机，每个虚拟机只继承一条策略，其性能和1000个策略分别应用于1000个虚拟机的性能是有质的差别。

3、NSX 与 vCenter 关联后，可以获取非常丰富的可以描述/区分业务的信息。例如虚拟机名称、虚拟机操作系统、登陆用户、网段，真正做到安全策略与 IP 地址弱相关。

前面提到这样的安全边界的定义已经不够，NSX 提供的解决方案叫“微分段”。基于微分段，可以做的两个事是：

• DMZ Anywhere：根据业务来将一个或多个虚拟机定义为一个安全域，在此基础上设置域间安全策略。

• 零信任：限制任意业务虚机到任意业务虚机不能访问，通过白名单方式只允许应用间授信的访问。

上图是个简单的环境，使用NSX实现图示的安全只需要三步：

1、定义两个以部门为单位的安全组

2、禁止部门间相互访问策略

3、设置Web层虚拟机之间互访

变革三：打破了安全产品间的壁垒

之前的文章多次提到传统网络和安全的一些问题，有个重点是平台不够标准化，NSX 同 ESXi 一样，实现了网络和安全平台的标准化。

在安全方面，NSX 将虚拟机终端安全的接口(EPSec)和网络安全接口(NetX)集成在了一起。以NSX为中心，上层是业务虚拟机，下层是第三方安全产品，NSX提供标准接口、提供基础的安全功能，通过接口和基础的安全功能，将一系列安全解决方案融合在一起。

变革四：改变了安全能触碰到的最小单位

NSX目前有两个版本，一个是适用于vSphere环境的NSX-v，另外一个是兼容更多开放平台的NSX-T。

在vSphere平台内，NSX-v做到了安全策略细化到每个虚拟机的每个网卡；

如果将NSX-v用于移动终端环境，还可以做到 Per-APP VPN。传统的 VPN 大部分是基于设备的，就是说一个 VPN 连接可以被多个移动终端上的多个应用使用，一个VPN的后端，直通数据中心内部，安全风险显而易见。NSX 的解决方案就是做到授信应用到数据中心内指定业务的访问，消除了任何多余的访问权限。

在 NSX-T 环境中，安全变得更接近应用：

• NSX-T 支持vSphere平台，也支持KVM等虚拟化平台；

• NSX-T 支持新型的应用基础架构：容器；

• NSX-T 支持 AWS 等公有云平台。

NSX 目前在集成 SD-WAN No.1 VeloCloud 的解决方案，未来安全更是会到每个网络可及的地方。毕竟，NSX 有一个小目标： NSX Anywhere

最后，算不上变革只是弥补空缺的功能：虚拟化里的网络流量可视化

传统的流量分析工具有两种获取流量的方式，一种是要求硬件网络设备将所有流量转发给分析设备；另一种是采用 Netflow 等标准协议，将网络流量的统计信息发送给流量分析设备。

第一种方式在小规模下可行，在稍大的环境中，让一个设备将所有流量转发到一个地方已经不现实了。

第二种方式，Netflow 是个比较简单的协议，最多只能用来进行统计、分析，满足诸如排错、监控网络异常、绘制拓扑这样的需求就不够了。

NSX 将虚拟化的网络和安全统一管理起来，任何与虚拟机有关的网络监控、排错、拓扑都可以轻松实现。配合 VMware 的其他工具，可以实现从虚拟化到物理设备，从业务虚拟网卡到途经每个逻辑或者虚拟接口的可视化，实现 360° 网络可视化。

关于监控这部分内容，可以读读“NSX之后如何运维”（https://mp.weixin.qq.com/s/_KPdOY0KZTi0ZRpJdNBDIw），未来可能会有更详细的针对每个产品的介绍。

接下来，将会分享与 NSX 安全相关的场景、功能细节以及部署，在这之后，开始网络的篇章。