我目前正在运行 VMWare ESX 4 和几台虚拟机。其中一台虚拟机需要符合 PCI-DSS 标准,将来可能还会有更多虚拟机需要符合标准。换句话说,我不想允许任何 LAN-LAN 流量。我目前有一台 SonicWall TZ100 作为防火墙。似乎有一种方法可以使用 PortShield 功能阻止 LAN 上虚拟机之间的流量,但我到目前为止还没有配置好它。
因此,这两种方法对我来说都可以:
A. 为每个需要合规的虚拟机设置安全性,以便它拒绝来自 LAN 中任何其他地方的流量。
B. 简单地阻止所有 LAN 内流量(我尝试使用简单的 LAN-LAN 访问规则来做到这一点,但它没有阻止任何东西)。
答案1
为了隔离 LAN,您必须首先从 TZ100 开始。在选定的 LAN 接口上创建一个新区域,这将分离区域。创建新区域后,您需要从新区域->WAN 和 WAN->新区域创建访问规则,否则您将无法访问互联网。然后继续使用交换机并创建 Vlan 以实现完全隔离。