利用分布式防火墙可以把一组虚机跟其他的网络环境隔离开来，这些虚机就像连接在同一个物理网段上，这个虚拟的网段称之为“微分段 （Micro Segmentation）”，微分段内的虚机才可以相互访问。

　　实际上，这些虚机可能是分布在不同物理服务器上的，这些物理服务器可能位于不同的物理网段，微分段在虚拟网络上把这些虚机与其他网络相隔离。我们可以利用微分段在数据中心内部对虚机进行隔离，把不同业务部门的虚拟服务器分隔在不同的微分段里，减少应用的受攻击面，提高应用的安全性。

　　微分段是一种很好地保护应用和数据安全的机制，但是防火墙规则还是需要由网络管理员手工来创建的，这就要求管理员对企业的应用架构比较熟悉，只有了解了应用之间的调用关系、通讯协议和端口，才能够比较准确地配置好微分段。

　　但是应用一般是由应用组来负责管理的，管理员一般缺乏应用的相关知识；另外数据中心往往运行着上百个应用，采用传统的方法来配置微分段就显得尤为挑战，费时费力、容易遗漏和出错。

　　从 6.3 开始，NSX-V 中增加了 Application Rule Manager 工具 （后面简称 ARM），来帮助用户自动识别应用之间的通讯模式。在 NSX 虚拟化网络环境下，任何一台虚机都可以被置于监控模式下 （monitoring mode），在这一模式下 ARM 可以对虚机之间的网络数据包进行监控和分析，从而得出虚机之间的通讯模式，并且根据分析的结果来自动生成防火墙规则，来规定虚机之间哪些端口上的哪些协议是允许的、哪些是应该被禁止的，由此创建针对该应用的微分段。ARM 也可以用于分析现有的应用环境，帮助管理员更加深入地了解应用之间的通讯模式，进而对现有的防火墙规则进行调整和优化。

　　跟 ARM 配套的另一项功能是端点监控工具 EM （Endpoint Monitoring），EM 的分析深入到了虚机内部，它能够看到虚机内部进行网络通讯的应用进程。有了 EM 工具，管理员就可以看到虚机内部有哪些进程在哪些端口上侦听、哪些进程正在试图进行网络连接；甚至可以看到进程的细节，例如进程名字、应用名字、版本号等。举个例子，EM 工具提供的信息能够详尽到：”虚机 VM1 中的一个版本为 的 SQL client 正在连接虚机 VM2 中的版本为 的 SQL Server”。

　　它可以透过原始的网络数据流 IP 地址，分析出是虚机上哪些应用在进行通讯；它也能够展示虚机的细节属性：所属的安全组、附带的安全标签等；除了网络端口和协议，ARM 也能够识别出应用级的网关，从而把多个网络数据流整合为一种通讯模式。ARM 也能够在应用级的数据流中过滤掉广播和组播数据包，去掉重复的信息和合并同样的通讯模式。通过一系列的分析，ARM 最终能够为用户 建议需要创建的安全组和防火墙规则，管理员只需要按一个按钮就可以发布这些安全规则。

　　应用规则管理工具 ARM 和端点监控工具 EM 能够帮助管理员更好地了解应用内部或应用之间的网络通讯模式，从信息安全“零信任”的角度来看：所有应用正常工作情况下没有用到的网络通讯都应该被禁止，在防火墙中对应的网络协议和端口应该被设置成为阻止。在识别应用间通讯模式的基础上，ARM 和 EM 工具能够把识别的结果一键转换为防火墙中的规则。下面展示了防火墙策略模型，在所有的安全规则中，应用间和应用内的通讯规则是 ARM 和 EM 工具能够实现的范围。

　　自从 ARM 工具推出之后，已经在很多客户的实际环境中得到应用。例如，某个用户使用 ARM 工具监控 Skye 应用20分钟，总共观察到2500个原始数据流，经过分析后合并为300个；ARM 发现其中有79个数据流没有被任何防火墙规则覆盖，最后用户创建了几条新的防火墙规则来覆盖这79个数据流。

　　下面给大家看一个利用 ARM 工具来为应用创建微分段的演示视频。利用 ARM 工具来为应用创建微分段只需要三个步骤：

　　详情查看：https://www.bilibili.com/video/av55135774/?redirectFrom=h5

　　VMware 和 Intel 携手网络和安全转型，共同打造虚拟云网络 （Virtual Cloud Network），为数字化时代确定网络发展前景。虚拟云网络基于运行在 Intel 架构上的 NSX 技术而构建， 跨数据中心、云、边缘环境和任意硬件基础架构提供无处不在的基于软件的网络连接，具有以下特点：