Advanced Firewall 附加模块是一组可改进 VMware Cloud on AWS 安全产品/服务的新功能。它可以提供第 7 层分布式防火墙、完全限定域名 (FQDN) 筛选列表、分布式入侵检测/预防服务 (D-IDS/IPS) 以及基于 Active Directory 的身份识别防火墙。

运行 Advanced Firewall 附加模块需要具有 VMC M15 或更高版本的 SDDC。

Advanced Firewall 附加模块是一项附加服务，需要按 SDDC 启用才能开始使用附加功能特性。可以在 VMware Cloud on AWS 定价页面 https://cloud.vmware.com/cn/vmc-aws/pricing 或产品页面 https://www.vmware.com/cn/products/nsx-advanced-firewall-for-vmc.html 上找到定价和帐单信息

是的，可在 SDDC 中所有主机的 hypervisor 级别启用 Advanced Firewall 附加模块。它适用于所有虚拟机。 

可以，Advanced Firewall 附加模块可根据用户配置的策略保护东西向和南北向流量。 

可以，Distributed IDS/IPS 功能特性可以抵御与配置的精选签名相匹配的恶意软件。

Advanced Firewall 附加模块在提供 VMC 的所有 AWS 商业区域提供。

请参考 VMC ConfigMax (https://configmax.vmware.com/home)，了解当前的扩展属性。

用户可以按 vCenter 集群启用或禁用 Distributed IDS/IPS。

可从 NSX Threat Intelligence Cloud (NTIC) 服务获取 Distributed IDS/IPS 的更新签名。可以将其配置为自动更新，以精简管理并确保具有最新签名。

NSX Threat Intelligence 云服务是 VMware 代管的 IDS/IPS 特征库。它是托管在全球多个区域的云端产品/服务。

Distributed IDS/IPS 的签名最初下载到 SDDC 内的 NSX Manager，然后自动放置在配置为使用 Distributed IDS/IPS 的集群中的每台主机上。 

可以，在为 Distributed IDS/IPS 配置策略时，可以将其配置为仅检测 (IDS) 或检测并阻止 (IPS) 操作。

IDFW 的主要应用场景是虚拟桌面基础架构 (VDI) 环境中基于每个用户会话的精细防火墙策略。

IDFW 支持采用 VDI 和 RDSH 方法进行远程访问。

可按 vCenter 集群启用或禁用 IDFW。

客户机自检供 IDFW 功能特性使用。 

VMware Cloud on AWS 使用基于内核的客户机自检引擎，无需专用虚拟机即可运行。

IDFW 功能特性需要在客户机虚拟机上安装 VMTools 11.x 或更高版本。 

第 7 层防火墙保护的常见应用场景是允许对给定端口或协议内的流量进行精细检查。这经常用于检测和防止未经授权的流量使用通常允许的端口和协议。它还用于确保使用特定加密协议来保护流量。

第 7 层防火墙保护功能特性具有 70 多个基于常用企业级应用的预配置应用定义，可快速部署该功能特性。

第 7 层防火墙使用上下文配置文件来定义应用，并且提供添加自定义配置文件的功能。

有关 FQDN 筛选的常见应用场景包括限制对未经授权的 URL 的访问，或者反过来限制对特定授权 URL 的访问。

FQDN 筛选功能特性使用分布式防火墙 (DFW) 上的 DNS 监听功能来观察和跟踪来自客户机的 DNS 请求。

用户可以随时启用或禁用 Advanced Firewall 附加模块。

如果禁用 Advanced Firewall 附加模块，则无法为 Distributed IDS/IPS、FQDN 筛选、IDFW 或第 7 层防火墙保护功能添加其他策略，并且无法编辑现有策略。  仍将强制实施并保留之前配置的策略，直到管理员将其删除。 

如果重新启用 Advanced Firewall 附加模块，则可配置现有策略。  

可以在 VMware Cloud on AWS 定价页面 https://cloud.vmware.com/cn/vmc-aws/pricing 或产品页面 https://www.vmware.com/cn/products/nsx-advanced-firewall-for-vmc.html 上找到定价和帐单信息