Gli amministratori della sicurezza utilizzano i firewall per proteggere la rete o i componenti selezionati nella rete dalle intrusioni.

I firewall controllano l'accesso ai dispositivi all'interno del proprio perimetro chiudendo tutte le porte, ad eccezione delle porte che l'amministratore indica esplicitamente o implicitamente come autorizzate. Le porte aperte dagli amministratori consentono il traffico tra i dispositivi in diversi lati del firewall.

Importante: Il firewall ESXi in ESXi 5.5 e versioni successive non consente il filtro in base alla rete del traffico di vMotion. Pertanto è necessario installare delle regole nel firewall esterno per assicurarsi che non sia possibile effettuare connessioni in entrata al socket vMotion.

In un ambiente di macchina virtuale è possibile pianificare il layout dei firewall tra componenti.

  • Firewall tra le macchine fisiche, ad esempio i sistemi vCenter Server e gli host ESXi.
  • Firewall tra una macchina virtuale e un'altra, ad esempio tra una macchina virtuale che agisce come server Web esterno e una macchina virtuale connessa alla rete interna dell'azienda.
  • Firewall tra una macchina fisica e una macchina virtuale, ad esempio quando si posiziona un firewall tra una scheda di rete fisica e una macchina virtuale.

La modalità di utilizzo dei firewall nella configurazione ESXi si basa sulle modalità di utilizzo della rete e sulla sicurezza di qualsiasi componente specificato. Ad esempio, se si crea una rete virtuale in cui ogni macchina virtuale è dedicata all'esecuzione di una suite di test di benchmark diversa per lo stesso reparto, il rischio di accesso non previsto da una macchina virtuale a quello successivo è minimo. Pertanto non è necessaria una configurazione in cui sono presenti firewall tra le macchine virtuali. Tuttavia, per evitare l'interruzione di un'esecuzione di test da un host esterno, è possibile configurare un firewall nel punto di ingresso della rete virtuale per proteggere l'intero set di macchine virtuali.

Per l'elenco di tutte le porte e i protocolli supportati nei prodotti VMware, inclusi vSphere e vSAN, vedere lo strumento VMware Ports and Protocols™ in https://ports.vmware.com/. È possibile cercare le porte in base VMware prodotto, creare un elenco personalizzato di porte e stampare o salvare gli elenchi di porte.

Firewall per le configurazioni con vCenter Server

Se si accede agli host ESXi tramite vCenter Server, in genere si protegge vCenter Server utilizzando un firewall.

I firewall devono essere presenti nei punti di ingresso. È possibile che il firewall si trovi tra i client e vCenter Server o che vCenter Server e i client si trovino entrambi dietro un firewall.

Per l'elenco di tutte le porte e i protocolli supportati nei prodotti VMware, inclusi vSphere e vSAN, vedere lo strumento VMware Ports and Protocols™ in https://ports.vmware.com/. È possibile cercare le porte in base VMware prodotto, creare un elenco personalizzato di porte e stampare o salvare gli elenchi di porte.

Le reti configurate con vCenter Server possono ricevere comunicazioni tramite vSphere Client, altri client dell'interfaccia utente o client che utilizzano vSphere API. Durante il normale funzionamento, vCenter Server ascolta i dati provenienti dagli host e dai client gestiti sulle porte designate. vCenter Server presuppone inoltre che gli host gestiti ascoltino i dati da vCenter Server sulle porte designate. Se tra questi elementi è presente un firewall, è necessario assicurarsi che le porte del firewall siano aperte per supportare il trasferimento di dati.

È inoltre possibile includere firewall in altri punti di accesso nella rete, in base all'utilizzo della rete e al livello di sicurezza richiesto dai client. Selezionare le posizioni dei firewall in base ai rischi per la sicurezza della configurazione di rete. Vengono in genere utilizzate le seguenti posizioni del firewall.

  • Tra vSphere Client o un client di gestione di rete di terze parti e vCenter Server.
  • Se gli utenti accedono alle macchine virtuali tramite un browser Web, tra il browser Web e l'host ESXi.
  • Se gli utenti accedono alle macchine virtuali tramite vSphere Client, tra vSphere Client e l'host ESXi. Questa connessione si aggiunge alla connessione tra vSphere Client e vCenter Server e richiede una porta diversa.
  • Tra vCenter Server e gli host ESXi.
  • Tra gli host ESXi nella rete. Anche se il traffico tra host viene in genere considerato attendibile, è possibile aggiungere firewall tra essi se si è preoccupati dalle violazioni della sicurezza da macchina a macchina.

    Se si aggiungono firewall tra gli host ESXi e si prevede di eseguire la migrazione delle macchine virtuali tra di esse, aprire le porte del firewall che separa l'host di origine dagli host di destinazione.

  • Tra gli host ESXi e lo storage di rete come lo storage NFS o iSCSI. Queste porte non sono specifiche di VMware. Configurarle in base alle specifiche della rete.

Connessione a vCenter Server tramite firewall

Aprire la porta TCP 443 nel firewall per consentire a vCenter Server di ricevere i dati.

Per impostazione predefinita, vCenter Server utilizza la porta TCP 443 per l'ascolto dei dati dai propri client. Se si dispone di un firewall tra vCenter Server e i relativi client, è necessario configurare una connessione che permetta a vCenter Server di ricevere dati dai client. La configurazione del firewall dipende da ciò che viene utilizzato nel sito. Chiedere informazioni al proprio amministratore di sistema del firewall locale.

Connessione di host ESXi tramite firewall

Se si dispone di un firewall tra gli host ESXi e vCenter Server, assicurarsi che gli host gestiti possano ricevere dati.

Per configurare una connessione per la ricezione dei dati, aprire le porte per il traffico proveniente da servizi come vSphere High Availability, vMotion e vSphere Fault Tolerance. Vedere Configurazione del firewall ESXi per informazioni sui file di configurazione, l'accesso a vSphere Client e i comandi firewall. Per un elenco delle porte, vedere VMware Ports and Protocols Tool™ all'indirizzo https://ports.vmware.com.

Firewall per le configurazioni senza vCenter Server

Se l'ambiente non include vCenter Server, i client possono connettersi direttamente alla rete ESXi.

È possibile connettersi a un host ESXi autonomo in diversi modi.
  • VMware Host Client
  • Interfaccia ESXCLI
  • vSphere Web Services SDK o vSphere Automation SDK
  • Client di terze parti
I requisiti del firewall per gli host autonomi sono simili a quelli necessari quando è presente un vCenter Server.
  • Utilizzare un firewall per proteggere il livello di ESXi o, in base alla configurazione in uso, i client e il livello di ESXi. Questo firewall offre una protezione di base per la rete.
  • La licenza in questo tipo di configurazione fa parte del pacchetto di ESXi che viene installato su ciascuno degli host. Poiché la licenza risiede in ESXi, non è necessario un License Server con un firewall separato.

È possibile configurare le porte del firewall utilizzando ESXCLI o VMware Host Client. Vedere Gestione di un singolo host di vSphere - VMware Host Client.

Connessione alla console della macchina virtuale tramite un firewall

Alcune porte devono essere aperte per le comunicazioni tra utenti e amministratori con la console della macchina virtuale. La definizione delle porte che devono essere aperte dipende dal tipo di console della macchina virtuale e dal fatto che la connessione avvenga tramite vCenter Server con vSphere Client oppure direttamente all'host ESXi da VMware Host Client.

Per ulteriori informazioni sulle porte, lo scopo e la classificazione (in entrata, in uscita o bidirezionale), vedere VMware Ports and Protocols Tool™ in https://ports.vmware.com.

Connessione a una console di una macchina virtuale basata sul browser tramite vSphere Client

Quando ci si connette mediante vSphere Client, la connessione avviene sempre al sistema vCenter Server che gestisce l'host ESXi, il quale rappresenta anche il punto di accesso alla console della macchina virtuale.

Se si utilizza vSphere Client e ci si connette alla console di una macchina virtuale basata sul browser, il seguente accesso deve essere disponibile:

  • Il firewall deve consentire a vSphere Client di accedere a vCenter Server sulla porta 443.
  • Il firewall deve consentire a vCenter Server di accedere all'host ESXi sulla porta 902.

Connessione a una VMware Remote Console tramite vSphere Client

Se si utilizza vSphere Client e ci si connette a una VMware Remote Console (VMRC), il seguente accesso deve essere disponibile:

  • Il firewall deve consentire a vSphere Client di accedere a vCenter Server sulla porta 443.
  • Il firewall deve consentire alla VMRC di accedere a vCenter Server sulla porta 443 e di accedere all'host ESXi sulla porta 902 per le versioni di VMRC precedenti alla 11.0 e alla porta 443 per la versione 11.0 (e superiori) di VMRC. Per ulteriori informazioni sui requisiti della porta di ESXi e VMRC versione 11.0, vedere l'articolo della Knowledge Base di VMware all'indirizzo https://kb.vmware.com/s/article/76672.

Connessione agli host ESXi direttamente con VMware Host Client

È possibile utilizzare la console della macchina virtuale VMware Host Client se ci si connette direttamente a un host ESXi.
Nota: Non utilizzare VMware Host Client per connettersi direttamente agli host gestiti da un sistema vCenter Server. Se si apportano modifiche a tali host da VMware Host Client, il sistema risulterà instabile.

Il firewall deve consentire l'accesso all'host ESXi sulle porte 443 e 902.

VMware Host Client utilizza la porta 902 per fornire una connessione per le attività MKS del sistema operativo guest sulle macchine virtuali. Tramite questa porta gli utenti interagiscono con i sistemi operativi guest e le applicazioni della macchina virtuale. VMware non supporta la configurazione di una porta diversa per questa funzione.