我想使用直接在虚拟机管理程序上运行的解决方案,通过防火墙规则保护 vSphere/ESXi 主机上的单个虚拟机。默认情况下,vSPhere 不允许这样做,对吗?当然,它必须支持集群设置。我有什么选择?
对我来说不可行的选择是: - 将防火墙作为虚拟机运行并桥接其后面的所有虚拟机。 - 使用 Windows 内置防火墙,因为他们需要操作系统管理员,因此可以禁用 Windows 防火墙。
一种情况是,您授予用户访问一台虚拟机的权限。但是,从那台机器上,他应该与网络的其余部分完全隔离。因此,他不应该被允许访问任何其他机器。即使是他自己子网上的机器
答案1
对于 VMware vSphere,正确的防火墙解决方案是VMware vCloud 网络和安全(以前称为 vShield)模块可与付费产品(Essential Plus 层及以上 $$$)一起使用。
这将允许对虚拟机(包括同一子网上的虚拟机)进行精细控制和网络监控。
它的工作原理是在 .vmx 文件中为虚拟机配置的接口插入过滤器。流量通过一组 vShield 虚拟机(每个主机一个管理虚拟机和一个防火墙)进行过滤:
ethernet0.filter0.name = "vshield-dvfilter-module"
ethernet0.filter0.param1 = "uuid=50048229-580b-7327-832e-1390c8c98044.000"
ethernet0.filter0.onFailure = "failClosed"
如果 vShield 虚拟机出现故障,则配置的 VM 上的 VM 流量将默认停止。
答案2
虚拟机管理程序不会在其虚拟机上执行防火墙或 NAT。从网络角度来看,它的作用就像不存在一样。
话虽如此,如果您希望在虚拟机之间实现逻辑网络分离,则必须使用更传统的网络方法。这将归结为基于主机的防火墙、VLAN、严格的访问控制,甚至更复杂的方法,如 RADIUS 身份验证。
答案3
还有基于虚拟机管理程序的第三方防火墙。我对 Juniper VGW 有很好的经验:http://www.juniper.net/us/en/products-services/security/vgw-series/