我是一名开发人员,正在尝试学习其他东西,我当前的目标是在 ESXi 主机上创建一个“虚拟”局域网。
我创建了一个作为 WAN 的 LAN 网关的 VM 和一些专门在 LAN 上的 VM。
我配置了 iptables,我可以从每个 LAN VM 访问 WAN,我也可以从 WAN 访问 LAN VM 上的 apache 服务器。
我的配置似乎正确,默认情况下我的策略是 DROP,并且我只接受来自 WAN 的想要的数据包。
我的问题是关于局域网的,
我将通过一个例子来说明:
我可以从 WAN 上的计算机通过 SSH 连接 VM1(它是 WAN 和 LAN 之间的桥梁),也可以从 VM1 通过 SSH 连接 LAN VM。
我是否应该接受从 LAN VM(VM1 除外)通过 SSH 连接到其他 LAN VM?
我以 SSH 为例,但问题更多的是关于我是否应该对每个 VM 执行策略删除 (Policy DROP),并手动管理即使在 LAN 上也接受每个 VM 上我需要的内容。
WAN 输入过滤可以帮助处理入侵问题,但是是否“需要” LAN 过滤来避免入侵从一台虚拟机传播到另一台虚拟机?
答案1
是否“需要”进行 LAN 过滤以避免入侵从一台虚拟机传播到另一台虚拟机?
允许横向移动是您做出的一项政策决定。一般来说,拒绝任何不需要的流量是更好的安全性。这方面的流行术语是微分段和零信任网络。
有关虚拟机网络安全的概述,请参阅NIST SP 800-125B 用于虚拟机 (VM) 保护的安全虚拟网络配置。它提到了防火墙、VLAN 和覆盖。请注意,网络安全的完整图景超越了一个虚拟机。
VMWare 很乐意告诉您他们的 NSX 产品如何进行微分段。由于中央策略,您可以声明 VM1 可以与 WAN 和另一台主机通信,但不能与任何其他主机通信。还有其他选择,只是声明防火墙配置不必手动构建。