Cómo configurar y administrar el firewall de ESXi

Garantizar la seguridad de los servidores ESXi y vCenter es una de las responsabilidades esenciales del administrador de una infraestructura virtual.

VMware ofrece muchas funciones para proteger los servidores, incluyendo la capacidad de establecer permisos granulares, mecanismos de autenticación de carpetas, firewalls, switches virtuales de nivel 2 y mucho más.

Conocer las capacidades de estas caracterà­sticas y saber utilizarlas es algo fundamental.

Hasta hace algunos años, solo ESX tenà­a un firewall, pero con el lanzamiento de vSphere 5 VMware se ha introducido también un firewall para ESXi 5.

Vamos a ver cómo podemos configurar y administrar un firewall de ESXi.

En primer lugar, agregaremos una configuración de seguridad al host de ESXi.

Este incluye un firewall entre la interfaz de administración y la red, la administración de control de acceso se proporciona a través del adaptador de red VMkernel (vmknik).
El firewall viene activo por defecto y bloquea todo el tráfico, a excepción de la administración de los servicios.

Empezamos a configurar el firewall del host deshabilitando el cliente NTP, abrid vSphere Web Client y seleccionad Hosts and Clusters en el menú Home:

How to configure and administer the ESXi firewall

Seleccionad el Host de ESXi:

How to configure and administer the ESXi firewall

Al pulsar Manage, Settings, se abre el menú System. Seleccionad Security Profile:

How to configure and administer the ESXi firewall

Aquà­ encontraréis la lista de administración de los servicios en las pestañas Incoming y Outgoing, incluyendo los puertos TCP y UDP:

How to configure and administer the ESXi firewall

Buscad el campo NTP Client en la lista de Outgoing Connection:

How to configure and administer the ESXi firewall

Haced clic en Edit:

How to configure and administer the ESXi firewall

Bajad, pinchad en NTP Client en la columna Name y quitad la selección:

How to configure and administer the ESXi firewall

Examinad de nuevo la lista de Outgoing Connections, y comprobad que NTP Client no esté en la lista:

How to configure and administer the ESXi firewall

Regresad a Edit Security Profile pulsando Edit y en la parte inferior seleccionad NTP Client y comprobad que el estado del cliente sea Stopped:

How to configure and administer the ESXi firewall

Ya hemos visto los pasos para deshabilitar el Cliente NTP (NTP Client) y podemos seguir el mismo procedimiento para otros servicios del firewall de ESXi.

Ahora volved a habilitar NTP Client y quitad la selección de Allow connections from any IP address, especificando la IP o subred utilizada por la interfaz de administración de vCenter Server (por ejemplo, con la dirección IP 192.168.2.105 y la subred 255.255.255.0 escribid 192.168.2.0/24).

Se permite la adición de múltiples redes:

How to configure and administer the ESXi firewall

Podéis verificar las directivas de seguridad de la lista de Outgoing connections:

How to configure and administer the ESXi firewall

Read related articles