Os administradores de segurança usam firewalls para proteger a rede ou os componentes selecionados na rede contra invasões.
Os firewalls controlam o acesso a dispositivos dentro de seu perímetro fechando todas as portas, exceto as portas que o administrador designa explícita ou implicitamente como autorizadas. As portas que os administradores abrem permitem o tráfego entre dispositivos em lados diferentes do firewall.
Em um ambiente de máquina virtual, você pode planejar o layout de firewalls entre componentes.
- Firewalls entre máquinas físicas, como sistemas vCenter Server e hosts ESXi.
- Firewalls entre uma máquina virtual e outra, por exemplo, entre uma máquina virtual que atua como um servidor Web externo e uma máquina virtual conectada à rede interna da sua empresa.
- Firewalls entre uma máquina física e uma máquina virtual, como quando você coloca um firewall entre uma placa adaptadora de rede física e uma máquina virtual.
A forma como você usa firewalls na configuração do ESXi é baseada em como você planeja usar a rede e na segurança de um determinado componente. Por exemplo, se você criar uma rede virtual em que cada máquina virtual é dedicada à execução de um conjunto de testes de benchmark diferente para o mesmo departamento, o risco de acesso indesejado de uma máquina virtual para a próxima é mínimo. Portanto, não é necessária uma configuração em que os firewalls estejam presentes entre as máquinas virtuais. No entanto, para evitar a interrupção de uma execução de teste de um host externo, você pode configurar um firewall no ponto de entrada da rede virtual para proteger todo o conjunto de máquinas virtuais.
Para obter a lista de todas as portas e protocolos compatíveis com os produtos VMware, incluindo vSphere e vSAN, consulte o VMware Ports and Protocols Tool™ em https://ports.vmware.com/. Você pode pesquisar portas por produto VMware, criar uma lista personalizada de portas e imprimir ou salvar listas de portas.
Firewalls para configurações com vCenter Server
Se você acessar hosts ESXi por meio de vCenter Server, normalmente protegerá vCenter Server usando um firewall.
Os firewalls devem estar presentes nos pontos de entrada. Um firewall pode estar entre os clientes e vCenter Server ou vCenter Server e os clientes podem estar ambos atrás de um firewall.
Para obter a lista de todas as portas e protocolos compatíveis com os produtos VMware, incluindo vSphere e vSAN, consulte o VMware Ports and Protocols Tool™ em https://ports.vmware.com/. Você pode pesquisar portas por produto VMware, criar uma lista personalizada de portas e imprimir ou salvar listas de portas.
As redes configuradas com vCenter Server podem receber comunicações por meio do vSphere Client, de outros clientes de interface do usuário ou clientes que usam o vSphere API. Durante a operação normal, o vCenter Server detecta dados de seus hosts e clientes gerenciados nas portas designadas. vCenter Server também pressupõe que seus hosts gerenciados detectam dados de vCenter Server nas portas designadas. Se um firewall estiver presente entre qualquer um desses elementos, você deverá garantir que o firewall tenha portas abertas para oferecer suporte à transferência de dados.
Você também pode incluir firewalls em outros pontos de acesso na rede, dependendo do uso da rede e do nível de segurança exigido pelos clientes. Selecione os locais para seus firewalls com base nos riscos de segurança para sua configuração de rede. Os seguintes locais de firewall são comumente usados.
- Entre o vSphere Client ou um cliente de gerenciamento de rede de terceiros e vCenter Server.
- Se seus usuários acessarem máquinas virtuais por meio de um navegador Web, entre o navegador Web e o host ESXi.
- Se os usuários acessarem máquinas virtuais por meio do vSphere Client, entre o host vSphere Client e o ESXi. Essa conexão é adicional à conexão entre o vSphere Client e o vCenter Server e requer uma porta diferente.
- Entre vCenter Server e os hosts ESXi.
- Entre os hosts ESXi em sua rede. Embora o tráfego entre hosts geralmente seja considerado confiável, você pode adicionar firewalls entre eles se estiver preocupado com violações de segurança de uma máquina para outra.
Se você adicionar firewalls entre hosts ESXi e planejar migrar máquinas virtuais entre eles, abra as portas em qualquer firewall que divida o host de origem dos hosts de destino.
- Entre os hosts ESXi e o armazenamento de rede, como armazenamento NFS ou iSCSI. Essas portas não são específicas para VMware. Configure-os de acordo com as especificações da sua rede.
Conectando-se a vCenter Server por meio de um firewall
Abra a porta TCP 443 no firewall para permitir que vCenter Server receba dados.
Por padrão, o vCenter Server usa a porta TCP 443 para detectar dados de seus clientes. Se você tiver um firewall entre vCenter Server e seus clientes, deverá configurar uma conexão por meio da qual vCenter Server possa receber dados dos clientes. A configuração do firewall depende do que é usado no seu site. Solicite informações ao administrador do sistema de firewall local.
Conectando hosts ESXi por meio de firewalls
Se você tiver um firewall entre seus hosts ESXi e vCenter Server, certifique-se de que os hosts gerenciados possam receber dados.
Para configurar uma conexão para recebimento de dados, abra as portas para o tráfego de serviços como vSphereAlta disponibilidade, vMotion e vSphere Fault Tolerance. Consulte Configurando o firewall ESXi para obter uma discussão sobre arquivos de configuração, acesso vSphere Client e comandos de firewall. Para obter uma lista de portas, consulte o VMware Ports and Protocols Tool™ em https://ports.vmware.com.
Firewalls para configurações sem vCenter Server
Se o seu ambiente não incluir vCenter Server, os clientes poderão se conectar diretamente à rede ESXi.
- VMware Host Client
- Interface ESXCLI
- vSphere Web Services SDK ou vSphere Automation SDKs
- Clientes de terceiros
- Use um firewall para proteger sua camada ESXi ou, dependendo da sua configuração, seus clientes e a camada ESXi. Esse firewall fornece proteção básica para sua rede.
- O licenciamento nesse tipo de configuração faz parte do pacote ESXi que você instala em cada um dos hosts. Como o licenciamento é residente em ESXi, um License Server separado com um firewall não é necessário.
Você pode configurar portas de firewall usando o ESXCLI ou o VMware Host Client. Consulte vSphere Gerenciamento de host único - VMware Host Client.
Conectando-se ao console da máquina virtual por meio de um firewall
Determinadas portas devem estar abertas para comunicação do usuário e do administrador com o console da máquina virtual. Quais portas devem ser abertas depende do tipo de console da máquina virtual e se você se conecta por meio de vCenter Server com o vSphere Client ou diretamente ao host ESXi do VMware Host Client.
Para obter mais informações sobre portas, finalidade e classificação (entrada, saída ou bidirecional), consulte o VMware Ports and Protocols Tool™ em https://ports.vmware.com.
Conectando-se a um console de máquina virtual baseado em navegador por meio do vSphere Client
Ao se conectar com o vSphere Client, você sempre se conecta ao sistema vCenter Server que gerencia o host ESXi e acessa o console da máquina virtual a partir daí.
Se você estiver usando o vSphere Client e se conectando a um console de máquina virtual baseado em navegador, o seguinte acesso deverá ser possível:
- O firewall deve permitir que vSphere Client acesse vCenter Server na porta 443.
- O firewall deve permitir que vCenter Server acesse o host ESXi na porta 902.
Conectando-se a um VMware Remote Console através do vSphere Client
Se você estiver usando o vSphere Client e se conectando a um VMware Remote Console (VMRC), o seguinte acesso deverá ser possível:
- O firewall deve permitir que o vSphere Client acesse vCenter Server na porta 443.
- O firewall deve permitir que o VMRC acesse vCenter Server na porta 443 e acesse o host ESXi na porta 902 para versões do VMRC anteriores à 11.0 e a porta 443 para o VMRC versão 11.0 e superior. Para obter mais informações sobre os requisitos de porta do VMRC versão 11.0 e ESXi, consulte o artigo da base de conhecimento VMware em https://kb.vmware.com/s/article/76672.
Conectando-se a hosts ESXi diretamente com o VMware Host Client
O firewall deve permitir o acesso ao host ESXi nas portas 443 e 902.
O VMware Host Client usa a porta 902 para fornecer uma conexão para atividades MKS do sistema operacional convidado em máquinas virtuais. É por meio dessa porta que os usuários interagem com os sistemas operacionais convidados e os aplicativos da máquina virtual. VMware não é compatível com a configuração de uma porta diferente para esta função.