Un ejemplo de cómo utilizar el aislamiento de ESXi y las características de redes virtuales para configurar un entorno seguro es la creación de una red perimetral de red (DMZ) en un único host.

Figura 1. DMZ configurada en un único host ESXi
DMZ configurada en un único host ESXi

En este ejemplo, se configuran cuatro máquinas virtuales para crear una DMZ virtual en el conmutador estándar 2:

  • La máquina virtual 1 y la máquina virtual 4 ejecutan firewalls y están conectadas a adaptadores de red físicos mediante conmutadores estándar. Ambas máquinas virtuales utilizan varios conmutadores.

  • La máquina virtual 2 ejecuta un servidor web, mientras que la máquina virtual 3 ejecuta un servidor de aplicaciones. Ambas máquinas virtuales están conectadas a un conmutador virtual.

El servidor web y el servidor de aplicaciones ocupan la DMZ entre los dos firewalls. El medio de transmisión entre estos elementos es el conmutador estándar 2, que conecta los firewalls con los servidores. Este conmutador no tiene conexión directa con ningún elemento fuera de la DMZ, y está aislado del tráfico externo mediante los dos firewalls.

Desde el punto de vista operativo, el tráfico externo de Internet entra a la máquina virtual 1 a través del adaptador de red de hardware 1 (enrutado con el conmutador estándar 1) y se somete a la comprobación del firewall instalado en esta máquina. Si el firewall autoriza el tráfico, este último se enruta al conmutador estándar de la DMZ, el conmutador estándar 2. Como el servidor web y el servidor de aplicaciones también están conectados a este conmutador, pueden atender solicitudes externas.

El conmutador estándar 2 también está conectado a la máquina virtual 4. Esta máquina virtual coloca un firewall entre la DMZ y la red interna de la empresa. Este firewall filtra los paquetes provenientes del servidor web y del servidor de aplicaciones. Si se comprueba un paquete, este se enruta al adaptador de red de hardware 2 a través del conmutador estándar 3. El adaptador de red de hardware 2 está conectado a la red interna de la empresa.

Al crear una DMZ en un único host, se pueden utilizar firewalls bastante ligeros. Aunque una máquina virtual en esta configuración no puede ejercer un control directo sobre otra máquina virtual ni acceder a su memoria, todas las máquinas virtuales siguen conectadas a través de una red virtual. Esta red se puede utilizar para propagar virus o como objetivo de otros tipos de ataques. La seguridad de las máquinas virtuales dentro de la DMZ es igual a la de distintas máquinas físicas conectadas a la misma red.