Los administradores de seguridad usan firewalls para proteger la red o los componentes seleccionados en la red de las intromisiones.

Los firewalls controlan el acceso a los dispositivos dentro de su perímetro mediante el cierre de todos los puertos, excepto los puertos que el administrador designa explícita o implícitamente como autorizados. Los puertos que el administrador abre permiten el tráfico entre dispositivos en diferentes lados del firewall.

Importante: El firewall de ESXi en ESXi 5.5 y versiones posteriores no permite filtrar el tráfico de vMotion por red. Por lo tanto, se deben instalar reglas en el firewall externo para que no se puedan establecer conexiones entrantes con el socket de vMotion.

En un entorno de máquina virtual, se puede planear la distribución de los firewalls entre los componentes.

  • Firewalls entre máquinas físicas, tales como los sistemas vCenter Server y los hosts ESXi.
  • Los firewalls entre una máquina virtual y otra, por ejemplo, entre una máquina virtual que actúa como servidor web externo y una máquina virtual conectada a la red interna de la empresa.
  • Firewalls entre una máquina física y una máquina virtual, como cuando se coloca un firewall entre una tarjeta de adaptador de red física y una máquina virtual.

El modo de usar firewalls en la configuración de ESXi depende de cómo se planea utilizar la red y qué tan seguro debe ser un componente determinado. Por ejemplo, si crea una red virtual en la que cada máquina virtual está dedicada a ejecutar un conjunto de pruebas de referencia diferente para el mismo departamento, el riesgo de que se produzca un acceso no deseado de una máquina virtual a la siguiente es mínimo. Por lo tanto, no se necesita una configuración en la que haya firewalls entre las máquinas virtuales. Sin embargo, para evitar la interrupción de la ejecución de una prueba por parte de un host externo, puede configurar un firewall en el punto de entrada de la red virtual a fin de proteger todo el conjunto de máquinas virtuales.

Para obtener la lista de todos los puertos y protocolos compatibles en los productos de VMware, incluidos vSphere y vSAN, consulte la herramienta VMware Ports and Protocols™ en https://ports.vmware.com/. Puede buscar puertos por producto de VMware, crear una lista de puertos personalizada e imprimir o guardar listas de puertos.

Firewalls para configuraciones con vCenter Server

Si se accede a los hosts ESXi a través de vCenter Server, generalmente se protege vCenter Server con un firewall.

Los firewalls deben estar en el punto de entrada. El firewall puede estar entre los clientes y vCenter Server, o bien tanto vCenter Server como los clientes pueden estar detrás de un firewall.

Para obtener la lista de todos los puertos y protocolos compatibles en los productos de VMware, incluidos vSphere y vSAN, consulte la herramienta VMware Ports and Protocols™ en https://ports.vmware.com/. Puede buscar puertos por producto de VMware, crear una lista de puertos personalizada e imprimir o guardar listas de puertos.

Las redes configuradas con vCenter Server pueden recibir comunicaciones a través de vSphere Client, otros clientes de UI o clientes que utilizan vSphere API. Durante un funcionamiento normal, vCenter Server escucha los datos de sus hosts y clientes administrados en los puertos designados. vCenter Server también asume que sus hosts administrados escuchan datos de vCenter Server en los puertos designados. Si hay un firewall entre cualquiera de estos elementos, el firewall debe tener puertos abiertos para admitir la transferencia de datos.

También se pueden incluir firewalls en otros puntos de acceso de la red, según el uso de la red y el nivel de seguridad que requieren los clientes. Seleccione las ubicaciones de los firewalls según los riesgos de seguridad de la configuración de red. Las siguientes ubicaciones de firewall se utilizan comúnmente.

  • Entre vSphere Client o un cliente de administración de redes externo y vCenter Server.
  • Si sus usuarios acceden a las máquinas virtuales a través de un explorador web, entre el explorador web y el host ESXi.
  • Si sus usuarios acceden a las máquinas virtuales a través de vSphere Client, entre vSphere Client y el host ESXi. Esta conexión es adicional a la conexión entre vSphere Client y vCenter Server, y requiere un puerto diferente.
  • Entre vCenter Server y los hosts ESXi.
  • Entre los hosts ESXi de la red. A pesar de que el tráfico entre hosts generalmente se considera confiable, puede agregar firewalls entre ellos si sospecha que hay infracciones de seguridad entre una máquina y la otra.

    Si agrega firewalls entre hosts ESXi y tiene pensado migrar las máquinas virtuales entre ellos, abra los puertos en cualquier firewall que divida el host de origen de los host de destino.

  • Entre los hosts ESXi y el almacenamiento de red, como el almacenamiento NFS o de iSCSI. Estos puertos no son exclusivos de VMware. Configúrelos de acuerdo con las especificaciones de la red.

Conexión con vCenter Server mediante un firewall

Abra el puerto TCP 443 en el firewall para que vCenter Server pueda recibir datos.

De forma predeterminada, vCenter Server usa el puerto TCP 443 para escuchar la transferencia de datos de sus clientes. Si se usa un firewall entre vCenter Server y sus clientes, es necesario configurar una conexión a través de la cual vCenter Server pueda recibir los datos de sus clientes. La configuración del firewall depende de lo que se use en el sitio. Solicite información al administrador del sistema de firewall local.

Conectar hosts ESXi mediante firewalls

Si tiene un firewall entre los hosts ESXi y vCenter Server, asegúrese de que los hosts administrados puedan recibir datos.

Para configurar una conexión a fin de recibir datos, abra los puertos para el tráfico proveniente de los servicios, como vSphere High Availability, vMotion y vSphere Fault Tolerance. Consulte Configurar el firewall de ESXi para ver una explicación de los archivos de configuración, del acceso de vSphere Client y de los comandos de firewall. Para obtener una lista de puertos, consulte la herramienta VMware Ports and Protocols ™ en https://ports.vmware.com.

Firewalls para configuraciones sin vCenter Server

Si el entorno no incluye vCenter Server, los clientes pueden conectarse directamente a la red ESXi.

Un host independiente ESXi se pueden conectar de varias formas.
  • VMware Host Client
  • Interfaz de ESXCLI
  • vSphere Web Services SDK o vSphere Automation SDK
  • Clientes de terceros
Los requisitos de firewall para los hosts independientes son similares a los requisitos aplicables cuando hay una instancia de vCenter Server.
  • Utilice un firewall para proteger la capa ESXi o, según la configuración, los clientes y la capa ESXi. El firewall ofrece una protección básica para la red.
  • La concesión de licencias en este tipo de configuración es parte del paquete de ESXi que instala en cada uno de los hosts. Debido a que la licencia reside en ESXi, no es necesario contar con un servidor de licencia distinto con un firewall.

Se pueden configurar puertos de firewall mediante ESXCLI o VMware Host Client. Consulte Administrar un host único de vSphere: VMware Host Client.

Conectar con la consola de la máquina virtual mediante un firewall

Algunos puertos deben estar abiertos para que el usuario y el administrador se comuniquen con la consola de la máquina virtual. Los puertos que deben estar abiertos dependen del tipo de consola de máquina virtual y de si se establece la conexión mediante vCenter Server con vSphere Client o directamente con el host ESXi desde VMware Host Client.

Para obtener más información sobre los puertos, su propósito y su clasificación (entrantes, salientes o bidireccionales), consulte la herramienta VMware Ports and Protocols™ en https://ports.vmware.com.

Conectarse a una consola de máquina virtual basada en explorador mediante vSphere Client

Cuando se conecta con vSphere Client, se conecta siempre al sistema vCenter Server que administra el host ESXi, y se accede desde allí a la consola de máquina virtual.

Si utiliza vSphere Client y se conecta a una consola de máquina virtual basada en explorador, el acceso siguiente debe ser posible:

  • El firewall debe permitir que vSphere Client acceda a vCenter Server en el puerto 443.
  • El firewall debe permitir que vCenter Server acceda al host ESXi en el puerto 902.

Conectarse a VMware Remote Console mediante vSphere Client

Si utiliza vSphere Client y se conecta a VMware Remote Console (VMRC), el acceso siguiente debe ser posible:

  • El firewall debe permitir que vSphere Client acceda a vCenter Server en el puerto 443.
  • El firewall debe permitir que VMRC acceda a vCenter Server en el puerto 443 y al host ESXi en el puerto 902 en las versiones de VMRC anteriores a 11.0, y en el puerto 443 en la versión 11.0 y posteriores de VMRC. Para obtener más información sobre la versión 11.0 de VMRC y los requisitos de puerto de ESXi, consulte el artículo de la base de conocimientos de VMware en https://kb.vmware.com/s/article/76672.

Conexión directa a hosts ESXi con VMware Host Client

Es posible utilizar la consola de máquina virtual de VMware Host Client si se conecta directamente a un host ESXi.
Nota: No utilice VMware Host Client para conectarse directamente a hosts administrados por un sistema vCenter Server. Si hace cambios en esos hosts desde VMware Host Client, se producirá inestabilidad en el entorno.

El firewall debe permitir el acceso al host ESXi en los puertos 443 y 902.

VMware Host Client utiliza el puerto 902 para ofrecer una conexión para las actividades de MKS del sistema operativo invitado en las máquinas virtuales. A través de este puerto, los usuarios interactúan con los sistemas operativos invitados y las aplicaciones de la máquina virtual. VMware no admite la configuración de otro puerto para esta función.