Vmware Nsx Security

🔒 NSX 零信任网络自动化运维

VMware NSX 安全运维工具集,支持分布式防火墙策略、微分段、安全组、流量追踪及入侵检测,21 个 MCP 工具实现零信任网络自动化管理。

收藏
7.2k
安装
1.9k
版本
1.7.0
CLS 安全扫描中
预计需要 3 分钟...

使用说明

核心功能

vmware-nsx-security 是专为 VMware NSX-T / NSX 4.x 打造的安全运维技能,提供 21 个 MCP 工具覆盖分布式防火墙(DFW)全生命周期管理:

核心能力矩阵

| 模块 | 功能 |
|------|------|
| DFW 策略 | 创建/更新/删除安全策略,支持分类(Emergency/Infrastructure/Application)和序列号编排 |
| DFW 规则 | 细粒度规则管理,含源/目的组、服务端口、动作(ALLOW/DROP/REJECT)及命中统计 |
| 安全组 | 基于标签、IP 范围或网段的动态成员组,驱动微分段策略 |
| VM 标签 | 为虚拟机应用 NSX 标签,实现工作负载标识与策略绑定 |
| Traceflow | 注入探测包追踪网络路径,诊断 DFW 丢弃原因及策略匹配链 |
| IDPS | 入侵检测/防御配置查询与签名状态监控 |

显著优势

  • 企业级安全设计:所有写操作经 vmware-policy 审计落盘至 SQLite,支持双确认删除、dry-run 预览、引用检查(删除组前自动扫描 DFW 规则依赖)
  • 微分段最佳实践内置:文档详述默认放行管理流量、标签验证、Traceflow 预检等关键 judgment,降低策略锁死风险
  • 多目标管理:通过 --target 支持生产/测试多 NSX Manager 无缝切换,密码隔离存储于环境变量
  • 零外部依赖:纯本地 stdio MCP,无 webhook、无出站调用、无后台服务

局限与风险

  • 范围受限:明确不包含 NSX 网络层(网段/网关/NAT/路由),需配合 vmware-nsx 技能;不涉及虚拟机生命周期管理
  • 证书与代理:企业 TLS 代理环境需配置 UV_NATIVE_TLS=true 或直接使用 v1.5.15+ 的 mcp 子命令
  • 知识门槛:需理解 NSX Policy API 概念(category 优先级、stateful/stateless 差异、标签 scope/value 语法)
  • Traceflow 限制:仅支持 Overlay 网段,VLAN-backed 段不兼容;需源 VM 开机且传输节点可达

适用人群

  • 负责 NSX 零信任网络架构的安全工程师与云网络管理员
  • 需自动化 DFW 策略编排的 DevOps/SRE 团队
  • 通过 MCP 集成实现"对话式运维"的平台工程团队

安全等级说明

  • 审计完备:全操作链可回溯,支持 vmware-audit log 查询
  • 凭证隔离:密码不落地配置文件中,权限最小化(chmod 600
  • 无代码执行:仅调用 NSX REST API,禁止 guest OS 操作或任意命令执行

Vmware Nsx Security 内容

evals文件夹
references文件夹
手动下载zip · 16.9 kB
evals.jsonapplication/json
请选择文件