Ein Beispiel für die Anwendung der ESXi-Isolierung und der virtuellen Netzwerkfunktionen zur Umgebungsabsicherung ist die Einrichtung einer so genannten „entmilitarisierten Zone“ (DMZ) auf einem einzelnen Host.

Abbildung 1. Konfigurierte DMZ auf einem einzelnen ESXi-Host
Konfigurierte DMZ auf einem einzelnen ESXi-Host

In diesem Beispiel sind vier virtuelle Maschinen so konfiguriert, dass sie eine virtuelle DMZ auf dem Standard-Switch 2 bilden:

  • Die virtuelle Maschine 1 und die virtuelle Maschine 4 führen Firewalls aus und sind über Standard-Switches an physische Netzwerkadapter angeschlossen. Diese beiden virtuellen Maschinen verwenden mehrere Switches.

  • Auf der virtuellen Maschine 2 wird ein Webserver ausgeführt, auf der virtuellen Maschine 3 ein Anwendungsserver. Diese beiden virtuellen Maschinen sind mit einem virtuellen Switch verbunden.

Der Webserver und der Anwendungsserver befinden sich in der DMZ zwischen den zwei Firewalls. Die Verbindung zwischen diesen Elementen ist der Standard-Switch2, der die Firewalls mit den Servern verbindet. Dieser Switch ist nicht direkt mit Elementen außerhalb der DMZ verbunden und wird durch die beiden Firewalls vom externen Datenverkehr abgeschirmt.

Während des Betriebs der DMZ betritt externer Datenverkehr aus dem Internet die virtuelle Maschine 1 über den Hardware-Netzwerkadapter 1 (weitergeleitet vom Standard-Switch 1) und wird von der auf dieser virtuellen Maschine installierten Firewall überprüft. Wenn die Firewall den Datenverkehr autorisiert, wird er an den Standard-Switch in der DMZ, den Standard-Switch 2, weitergeleitet. Da der Webserver und der Anwendungsserver ebenfalls an diesen Switch angeschlossen sind, können sie die externen Anforderungen bearbeiten.

Der Standard-Switch 2 ist auch an die virtuelle Maschine 4 angeschlossen. Auf dieser virtuellen Maschine schirmt eine Firewall die DMZ vom internen Firmennetzwerk ab. Diese Firewall filtert Pakete vom Web- und Anwendungsserver. Wenn ein Paket überprüft wurde, wird es über den Standard-Switch 3 an den Hardware-Netzwerkadapter 2 weitergeleitet. Der Hardware-Netzwerkadapter 2 ist an das interne Firmennetzwerk angeschlossen.

Bei der Implementierung einer DMZ auf einem einzelnen Host können Sie relativ einfache Firewalls verwenden. Obwohl eine virtuelle Maschine in dieser Konfiguration keine direkte Kontrolle über eine andere virtuelle Maschine ausüben oder auf ihren Arbeitsspeicher zugreifen kann, sind die virtuellen Maschinen dennoch über ein virtuelles Netzwerk verbunden. Dieses Netzwerk kann für die Verbreitung von Viren oder für andere Angriffe missbraucht werden. Die virtuellen Maschinen in der DMZ sind ebenso sicher wie getrennte physische Computer, die an dasselbe Netzwerk angeschlossen sind.