Источник: What's New in VMware vSphere 5.0 Platform


VMware vSphere 5.0 в настоящее время поставляется с принципиально новым фаерволом (firewall), который поможет администраторам защитить management интерфейсы на хосте ESXi. Данный брандмауэр предоставляет аналогичные возможности контроля доступа для платформы VMware ESXi, которые ранее были доступны только для платформы VMware ESX. Тем не менее технология, используемая для построения брандмауэра, отличается от той, что использовалась в VMware ESX. Напомню, что в VMware ESX в качестве межсетевого экрана использовался iptables, запущенный в системной консоли (Console Operating System (COS)).


В VMware ESXi управление доступом осуществляется через специальный модуль (firewall module), который расположен между vmknic (VMkernel network adaptor) и виртуальным свичем (virtual switch). Он (в смысле firewall модуль) проверяет пакеты на соответствие ранее заданным правилам, так называемым правилам фаервола (firewall rules). Основываясь на результатах, модуль определяет дальнейшую судьбу пакета, нужно ли его удалить или пропустить дальше. Ниже перечислены основные особенности нового фаервола:


  • Это сервис-ориентированный и stateless (не подобрал подходящего перевода) фаервол.
  • Позволяет ограничивать доступ к службам, основываясь на IP адресе и маске подсети.
  • Графический интерфейс (GUI) похож на VMware ESX firewall.
  • Межсетевой экран можно настроить с помощью новой команды "esxcli".
  • Данный брандмауэр поддерживает Профили Хостов (Host Profiles).


Для конфигурирования VMware ESXi firewall можно использовать уже знакомый (а, может, кому-то еще и незнакомый) сервис-ориентированный графический интерфейс (VMware ESXi firewall GUI), что поможет администраторам при переходе с платформы VMware ESX на ESXi. Чуть ниже будет немного сказано о VMware ESXi firewall GUI.


VMware ESXi Firewall GUI

Управлять межсетевым экраном VMware ESXi можно точно так же, как и межсетевым экраном VMware ESX. Если мы хотим настроить фаервол с использованием графического интерфейса, то нам следует в vSphere Client'e выделить нужный хост ESXi и перейти на вкладку Configuration -> Security Profile.


На скриншоте ниже показан текущий профиль безопасности хоста с подробной информацией об имеющихся службах и правилах. Администраторы могут запустить или остановить любую из этих служб. Также можно легко предоставить или ограничить доступ к этим службам через изменение соответствующих параметров межсетевого экрана.

firewall.jpg


VMware ESXi Firewall CLI

Для настройки фаервола существует отдельное пространство имен. Чуть ниже на скриншоте это схематично изображено.

esxcli-firewall.jpg

Команда "get" (esxcli network firewall get) может быть использована для получения подробной информации о текущих настройках межсетевого экрана. Команда "set" (esxcli network firewall set) позволяет пользователям настраивать правила брандмауэра.


Как видно выше, администраторы, используя команду "esxcli", могут достаточно легко и быстро настроить межсетевой экран в соответствии с корпоративной политикой безопасности.