Absichern des Netzwerks mit Firewalls

Sicherheitsadministratoren verwenden Firewalls, um das Netzwerk oder ausgewählte Komponenten innerhalb des Netzwerks vor unerlaubten Zugriffen zu schützen.

Firewalls kontrollieren den Zugriff auf die Geräte in ihrem Umfeld, indem sie alle Ports außer denen abriegeln, die der Administrator explizit oder implizit als zulässig definiert. Die Ports, die Administratoren öffnen, erlauben Datenverkehr zwischen Geräten auf beiden Seiten der Firewall.

Wichtig: Mit der ESXi-Firewall in ESXi 5.5 und höher kann der vMotion-Datenverkehr nicht pro Netzwerk gefiltert werden. Daher müssen Sie Regeln für Ihre externe Firewall installieren, um sicherzustellen, dass keine eingehenden Verbindungen mit dem vMotion-Socket hergestellt werden können.

In der Umgebung mit virtuellen Maschinen können Sie das Layout für die Firewalls zwischen den Komponenten planen.

Firewalls zwischen physischen Maschinen, z. B. vCenter Server-Systemen und ESXi-Hosts.
Firewalls zwischen zwei virtuellen Maschinen – beispielsweise zwischen einer virtuellen Maschine, die als externer Webserver dient, und einer virtuellen Maschine, die an das interne Firmennetzwerk angeschlossen ist.
Firewalls zwischen einem physischen Computer und einer virtuellen Maschine, wenn Sie beispielsweise eine Firewall zwischen einen physischen Netzwerkadapter und eine virtuelle Maschine schalten.

Die Nutzungsweise von Firewalls in einer ESXi-Konfiguration hängt davon ab, wie Sie das Netzwerk nutzen möchten und wie sicher die einzelnen Komponenten sein müssen. Wenn Sie zum Beispiel ein virtuelles Netzwerk erstellen, in dem jede virtuelle Maschine eine andere Benchmark-Testsuite für die gleiche Abteilung ausführt, ist das Risiko ungewollten Zugriffs von einer virtuellen Maschine auf eine andere minimal. Eine Konfiguration, bei der Firewalls zwischen den virtuellen Maschinen vorhanden sind, ist daher nicht erforderlich. Um jedoch eine Störung der Testläufe durch einen externen Host zu verhindern, kann eine Firewall am Eingangspunkt zum virtuellen Netzwerk konfiguriert werden, um alle virtuellen Maschinen zu schützen.

Eine Liste aller unterstützten Ports und Protokolle in VMware, einschließlich vSphere und vSAN, finden Sie im Tool VMware Ports and Protocols™ unter https://ports.vmware.com/. Sie können Ports nach VMware-Produkt durchsuchen, eine benutzerdefinierte Portliste erstellen und Portlisten drucken oder speichern.

Firewalls in Konfigurationen mit vCenter Server

Wenn Sie über vCenter Server auf ESXi-Hosts zugreifen, schützen Sie vCenter Server normalerweise durch eine Firewall.

Firewalls müssen an den Zugangspunkten vorhanden sind. Eine Firewall kann zwischen den Clients und vCenter Server vorhanden sein, oder vCenter Server und die Clients können sich beide hinter einer Firewall befinden.

Mit vCenter Server konfigurierte Netzwerke können über den vSphere Client, über andere UI-Clients oder Clients, die die vSphere API verwenden, Daten erhalten. Während des normalen Betriebs wartet vCenter Server an bestimmten Ports auf Daten von verwalteten Hosts und Clients. vCenter Server geht auch davon aus, dass die verwalteten Hosts an bestimmten Ports auf Daten von vCenter Server warten. Wenn sich zwischen diesen Elementen eine Firewall befindet, muss sichergestellt werden, dass Firewall-Ports für den Datenverkehr geöffnet wurden.

Firewalls können je nach Netzwerkauslastung und der für Clients erforderlichen Sicherheitsstufe auch an anderen Zugriffspunkten im Netzwerk hinzugefügt werden. Bestimmen Sie die Installationspunkte für Ihre Firewalls anhand der Sicherheitsrisiken für Ihre Netzwerkkonfiguration. Die folgenden Firewall-Installationspunkte werden häufig verwendet.

Zwischen dem vSphere Client oder einem Netzwerkverwaltungs-Client eines Drittanbieters und vCenter Server.
Wenn die Benutzer über einen Webbrowser auf virtuelle Maschinen zugreifen, zwischen dem Webbrowser und dem ESXi-Host.
Wenn die Benutzer über den vSphere Client auf virtuelle Maschinen zugreifen, zwischen dem vSphere Client und dem ESXi-Host. Diese Verbindung ist ein Zusatz zu der Verbindung zwischen dem vSphere Client und vCenter Server und benötigt einen anderen Port.
Zwischen vCenter Server und den ESXi-Hosts.
Zwischen den ESXi-Hosts in Ihrem Netzwerk. Zwar ist der Datenverkehr zwischen Hosts normalerweise vertrauenswürdig, aber Sie können bei befürchteten Sicherheitsrisiken zwischen den einzelnen Computern dennoch Firewalls zwischen den Hosts installieren.
Wenn Sie Firewalls zwischen ESXi-Hosts hinzufügen und die Migration virtueller Maschinen zwischen diesen Hosts planen, öffnen Sie Ports in einer beliebigen Firewall, die den Quellhost von den Zielhosts trennt.
Zwischen ESXi-Hosts und Netzwerkspeicher, z. B. NFS- oder iSCSI-Speicher. Diese Ports sind nicht VMware-spezifisch. Konfigurieren Sie sie anhand der Spezifikationen für das jeweilige Netzwerk.

Herstellen einer Verbindung mit einem vCenter Server über eine Firewall

Öffnen Sie TCP-Port 443 in der Firewall, um vCenter Server den Empfang von Daten zu ermöglichen.

vCenter Server verwendet standardmäßig TCP-Port 443, um die Datenübertragung von seinen Clients zu überwachen. Wenn eine Firewall zwischen vCenter Server und den Clients vorhanden ist, müssen Sie eine Verbindung konfigurieren, über die vCenter Server Daten von den Clients empfangen kann. Die Firewall-Konfiguration hängt von den an Ihrer Site verwendeten Komponenten ab. Weitere Informationen erhalten Sie von Ihrem lokalen Firewall-Systemadministrator.

Verbinden von ESXi-Hosts über Firewalls

Wenn Sie eine Firewall zwischen Ihren ESXi-Hosts und vCenter Server eingerichtet haben, stellen Sie sicher, dass die verwalteten Hosts Daten empfangen können.

Öffnen Sie zum Konfigurieren einer Verbindung für den Empfang von Daten Ports für den Datenverkehr von Diensten, wie z. B. vSphere High Availability, vMotion und vSphere Fault Tolerance. In Konfigurieren der ESXi Firewall finden Sie eine Erläuterung zu Konfigurationsdateien, vSphere Client-Zugriff und Firewall-Befehlen. Eine Liste der Ports finden Sie im VMware-Tool „Ports und Protokolle“™ unter https://ports.vmware.com.

Firewalls für Konfigurationen ohne vCenter Server

Wenn vCenter Servernicht in Ihrer Umgebung vorhanden ist, können die Clients keine direkte Verbindung zum ESXi-Netzwerk herstellen.

Sie können auf verschiedene Arten eine Verbindung mit einem eigenständigen ESXi-Host herstellen.

VMware Host Client
ESXCLI-Schnittstelle
vSphere Web Services SDK oder vSphere Automation SDKs
Drittanbieterclients

Die Firewall-Anforderungen für eigenständige Hosts sind mit den Anforderungen vergleichbar, wenn ein vCenter Server vorhanden ist.

Verwenden Sie eine Firewall, um die ESXi-Ebene oder je nach Konfiguration Ihre Clients und die ESXi-Ebene zu schützen. Diese Firewall bietet einen Grundschutz für das Netzwerk.
Die Lizenzierung gehört in dieser Konfiguration zu dem ESXi-Paket, das Sie auf allen Hosts installieren. Da die Lizenzierung in ESXi integriert ist, wird ein separater License Server mit einer Firewall nicht benötigt.

Firewallports können mit ESXCLI oder dem VMware Host Client konfiguriert werden. Weitere Informationen hierzu finden Sie unter Verwaltung eines einzelnen Hosts von vSphere – VMware Host Client.

Herstellen einer Verbindung mit der VM-Konsole über eine Firewall

Bestimmte Ports müssen für die Kommunikation zwischen Administrator bzw. Benutzer und der VM-Konsole geöffnet sein. Welche Ports geöffnet sein müssen, hängt vom Typ der VM-Konsole ab sowie davon, ob Sie die Verbindung über vCenter Server mit dem vSphere Client oder direkt mit dem ESXi-Host vom VMware Host Client aus herstellen.

Weitere Informationen zu Ports, Zweck und Klassifizierung (eingehend, ausgehend oder bidirektional) finden Sie im Tool VMware Ports and Protocols™ unter https://ports.vmware.com.

Herstellen der Verbindung zu einer browserbasierten VM-Konsole über den vSphere Client

Beim Herstellen einer Verbindung mit dem vSphere Client stellen Sie stets eine Verbindung zum vCenter Server-System her, das den ESXi-Host verwaltet, und greifen von hier aus auf die VM-Konsole zu.

Falls Sie den vSphere Client verwenden und eine Verbindung zu einer browserbasierten VM-Konsole herstellen, muss der folgende Zugriff möglich sein:

Die Firewall muss vSphere Client den Zugriff auf vCenter Server auf Port 443 erlauben.
Die Firewall muss vCenter Server den Zugriff auf den ESXi-Host auf Port 902 erlauben.

Herstellen der Verbindung zu einer VMware Remote Console über den vSphere Client

Falls Sie vSphere Client verwenden und eine Verbindung zu einer VMware Remote Console (VMRC) herstellen, muss der folgende Zugriff möglich sein:

Die Firewall muss dem vSphere Client Zugriff auf vCenter Server auf Port 443 gewähren.
Die Firewall muss dem VMRC Zugriff auf vCenter Server auf Port 443 und auf den ESXi-Host auf Port 902 für VMRC-Versionen vor 11.0 und Port 443 für VMRC Version 11.0 und höher gewähren. Weitere Informationen zu den Portanforderungen von VMRC Version 11.0 und ESXi finden Sie im VMware-Knowledgebase-Artikel unter https://kb.vmware.com/s/article/76672.

Herstellen einer Direktverbindung zu ESXi-Hosts mit dem VMware Host Client

Sie können die VM-Konsole des VMware Host Client verwenden, wenn Sie eine direkte Verbindung zu einem ESXi-Host herstellen.

Hinweis: Verwenden Sie den VMware Host Client nicht, um eine Direktverbindung mit Hosts herzustellen, die von einem vCenter Server-System verwaltet werden. Wenn Sie im VMware Host Client an Hosts dieses Typs Änderungen vornehmen, wird Ihre Umgebung instabil.

Die Firewall muss Zugriff auf den ESXi-Host auf Port 443 und 902 gewähren.

Der VMware Host Client verwendet Port 902 für Verbindungen der MKS-Aktivitäten des Gastbetriebssystems auf virtuellen Maschinen. Die Benutzer interagieren über diesen Port mit dem Gastbetriebssystem und den Anwendungen der virtuellen Maschine. Für diese Aufgabe unterstützt VMware nur diesen Port.