ESXi の隔離機能および仮想ネットワークの機能を使用して安全な環境を構成する 1 つの方法として、単一ホスト上にネットワーク非武装地帯 (DMZ) を作成するという例があります。

図 1. 単一の ESXi ホストに構成された DMZ
単一の ESXi ホストに構成された DMZ

この例では、標準スイッチ 2 に仮想 DMZ を作成するよう、4 台の仮想マシンが構成されています。

  • 仮想マシン 1 および仮想マシン 4 は、ファイアウォールを実行し、標準スイッチを介して物理ネットワーク アダプタに接続されています。これら両方の仮想マシンは、複数のスイッチを使用しています。

  • 仮想マシン 2 は Web サーバを実行し、仮想マシン 3 はアプリケーション サーバとして動作しています。これら両方の仮想マシンは、1 つの仮想スイッチに接続されています。

Web サーバおよびアプリケーション サーバは、2 つのファイアウォール間の DMZ に置かれています。これらの要素間のルートは、ファイアウォールとサーバを接続する標準スイッチ 2 です。このスイッチは、DMZ 外の要素とは直接接続されていないので、2 つのファイアウォールによって外部トラフィックから隔離されています。

操作の観点から、インターネットからの外部トラフィックは、ハードウェア ネットワーク アダプタ 1 (標準スイッチ 1 を経由) を介して仮想マシン 1 に入り、このマシン上にインストールされているファイアウォールによって検査されます。ファイアウォールがトラフィックを許可すると、DMZ 内の標準スイッチ (標準スイッチ 2) を経由します。 Web サーバおよびアプリケーション サーバもこのスイッチに接続されているため、外部要求に対応できます。

標準スイッチ 2 も仮想マシン 4 に接続されています。 この仮想マシンは、DMZ と企業の内部ネットワーク間にファイアウォールを提供します。このファイアウォールは、Web サーバおよびアプリケーション サーバからのパケットをフィルタリングします。パケットが検証されると、標準スイッチ 3 を介してハードウェア ネットワーク アダプタ 2 に送信されます。 ハードウェア ネットワーク アダプタ 2 は、企業の内部ネットワークに接続されています。

単一のホストに DMZ を作成する場合には、非常に軽量のファイアウォールを使用できます。この構成の仮想マシンは、別の仮想マシンを直接制御したり、そのメモリにアクセスしたりできませんが、すべての仮想マシンが仮想ネットワークを介して接続されています。このネットワークはウイルスの伝播に使用されたり、ほかの脅威のターゲットにされる可能性があります。DMZ の仮想マシンのセキュリティは、同じネットワークに接続された個別の物理マシンと同程度です。