或者我需要为每个客户服务器操作系统管理每个防火墙?
我需要同时做这两件事吗?主机上有硬件防火墙,每个服务器操作系统上都有软件防火墙?
这里的最佳实践是什么?
答案1
请记住,如果您的网络中有多个子网(即使是小型网络,这种情况也很常见),您的 ESX(i) 主机将在其中一个子网中拥有管理 IP,但您的客户虚拟机将根据您的需要分布在它们之间;因此,在主机的管理连接前放置防火墙将不是保护客户虚拟机。
这意味着您的问题实际上只有当您拥有一个主机和客户机都所在的单一网络时才有意义;在这种情况下,它取决于您的设置和需求;在每台机器上安装防火墙可以为您提供更大的灵活性,并且在所有机器前安装全局防火墙可以为您提供两层防御。
答案2
纵深防御,我的朋友。我的策略是使用专用防火墙设备(硬件防火墙有点用词不当)以及在每个虚拟机上运行的主机防火墙(iptables 或 Windows 高级防火墙)来保护我的主机和虚拟机。
答案3
“最佳实践”是同时拥有组织防火墙和基于主机的防火墙。
但是,如果您在 ESXi 服务器前正确配置了硬件防火墙,它应该可以很好地完成外部保护,而无需基于主机(客户机)的防火墙。在这种情况下,您的弱点将是服务器到服务器的流量完全开放。