Come configurare e gestire il firewall ESXi

Garantire la sicurezza dei server ESXi e vCenter è una delle responsabilità essenziali dell’amministratore di una infrastruttura virtuale.

VMware rende disponibili molte funzioni per proteggere i server, inclusa la possibilità di impostare permessi granulari, meccanismi di autenticazione di cartelle, firewall, virtual switch layer 2 e altro.

Conoscere le capacità di queste feature e come utilizzarle è fondamentale.

Fino ad alcuni anni fa solamente ESX era dotato di firewall, ma con il rilascio di vSphere 5 VMware ha introdotto un firewall anche per ESXi 5.

Andiamo a vedere come possiamo configurare e gestire il firewall di ESXi.

Prima di tutto aggiungiamo una configurazione di sicurezza all’host ESXi.

Include un firewall tra management interface e network, la gestione del controllo degli accessi è prevista tramite adattatore di rete VMkernel (vmknik).
Il firewall è attivo di default e blocca tutto il traffico ad eccezione di quello destinato alla gestione dei servizi.

Iniziamo a configurare il firewall dell’host disabilitando l’NTP Client, aprite il vSphere Web Client e selezionate Hosts and Clusters dal menu Home:

How to configure and administer the ESXi firewall

Scegliete l’Host ESXi:

How to configure and administer the ESXi firewall

Premendo Manage, Settings, si apre il menu System. Scegliete Security Profile:

How to configure and administer the ESXi firewall

Qui trovate la lista della gestione dei servizi sotto ai tab Incoming e Outgoing  incluse le porte TCP e UDP :

How to configure and administer the ESXi firewall

Trovate il campo NTP Client nell’elenco delle Outgoing Connection:

How to configure and administer the ESXi firewall

Cliccate Edit:

How to configure and administer the ESXi firewall

Scendete in basso e selezionate NTP Client nella colonna Name e deselezionatela:

How to configure and administer the ESXi firewall

Ricontrollate la lista delle Outgoing Connections, e verificate che NTP Client non sia più nella lista:

How to configure and administer the ESXi firewall

Tornate indietro a Edit Security Profile premendo Edit e in basso scegliere NTP Client verificando che lo status del client sia su Stopped:

How to configure and administer the ESXi firewall

A questo punto, abbiamo visto i punti per disabilitare l’NTP Client e lo stesso procedimento può essere applicato per gli altri servizi del firewall ESXi.

Ora abilitate nuovamente l’NTP Client e deselezionate Allow connections from any IP address, specificando l’IP o il subnet utilizzato dalla vCenter Server management intefarface (es. con indirizzo IP 192.168.2.105 e subnet 255.255.255.0 specificate 192.168.2.0/24).

E’ supportata l’aggiunta di reti multiple:

How to configure and administer the ESXi firewall

Potete ricontrollare le regole di sicurezza dalla lista Outgoing connections :

How to configure and administer the ESXi firewall

Comments