vShield Zones
vShield Zones — это система файрволлов на каждом ESX + управляющая консоль. Файрволлы (vShield), как и консоль (vShield Manager), являются просто виртуальными машинами.
Принцип работы очень прост, у каждой vShield три сетевых интерфейса: mgmt, unprot и prot, которые подключены в соотв. портгруппы. Для коммуникации с vShield Manager используется mgmt интерфейс, обладающий собственным IP, unprot ловит все пакеты, проходящие через vSwitch, а после обработки пакеты отдаются во второй vSwitch (не имеющий физических аплинков) через prot интерфейс. В данном случае VMware не стала изобретать велосипед и просто купила компанию, специализирующуюся на таких решениях — BlueLane.
Установка проходит при минимальном уровне участия администратора, все сетевые изменения проводятся автоматически. Сами же машины vShield и vShield Manager все ближе к черным ящикам. Хоть там и стоит какой-то дистрибутив Linux, но стандартной консоли просто нет, доступно лишь небольшое количество команд для конфигурирования и траблшутинга, причем при развертывании vShield машины из шаблона vShield Manager конфигурирует ее самостоятельно.
Скриншот сетевых настроек ESX после установки vShield, на котором все прекрасно видно:
В данном случае приведена картинка для традиционной схемы vSwitch'ей, но vShield работает и с vNetwork Distributed Switch.
Почему сделана работа с двумя vSwitch'ами? Машины принудительно подключаются (или переключаются при установке) во второй vSwitch, не имеющий физических аплинков и соотв. изначально весь трафик пойдет только и исключительно через vShield.
Огромный плюс vShield Zones в том, что не требуется никакого изменения сетевых настроек или адресации в гостевых системах, vShield полностью прозрачный файрволл.
В итоге мы имеем центральную консоль управления, встраивающуюся в vCenter, хотя можно управлять ей и просто через браузер. В этой консоли, например, можно посмотреть подробную статистику сетевой активности одной ВМ, хоста, кластера и вплоть до всего датацентра (если на всех без исключения хостах установлены vShield). В качестве примера приведена статистика для контроллера домена тестовой зоны:
Ну или в цифрах:
Буквально двумя кликами дальше можно создать правило для любого протокола:
Общее впечатление достаточно приятное. Интеграция пока немножко страдает, но BlueLane была приобретена всего в октябре 2008, в будущем шероховатости сгладятся. Настройки файрволла достаточно разветвленные и позволяют серьезно повысить уровень безопасности виртуальных машин в сети.
vShield Zones включена в комплект начиная с редакции vSphere Advanced, т.е. эту функциональность получают также и все Enterprise пользователи VI3. Если, конечно, у них была активная поддержка 
Антон Жбанков
Popularity: 1% [?]
Действительно, впечатления просто великолепные. Системы vShield Zones просто супер:)
Может немножко дуратский вопрос — но чем это принципиально лучше отдельных фаерволов в гостевых ос?
Ровно тем же, чем аппаратные файрволлы лучше программных — независимостью от того, какая ОС установлена на сервере.
Настройки файрволла применяются сразу ко всем экземплярам vShield, на уровне датацентра, кластера или к конкретному хосту.
Да, несомненно можно найти программное решение, не уступающее vShield, или даже превосходящее, особенно если у нас заранее известная инфраструктура. Но сколько оно будет стоить вместе со всеми консолями централизованного управления и сводной статистики?
vShield Zones не идеальное и даже не лучшее на рынке решение, это решение обеспечивает некоторый уровень защиты и некоторый уровень интеграции с vSphere. Но самое главное — оно идет в комплекте с лицензией на vSphere, начиная с редакции Advanced. Если вам этого уровня защиты достаточно, то «зачем платить больше»?
У меня цели доказать, что vShield лучше, чем отдельные файрволлы, или что отдельные файрволлы вообще не нужны. Моя цель — рассказать о том, что такое решение есть и как оно работает, не более того. Выбор за вами, вы лучше знаете специфику своей инфраструктуры.
Если сравнивать с файерволами в гостевых машинах, vShield поддерживает создание правил для конкретных приложений (например, разрешить определенной службе исходящий трафик на определенные порты)? Или например, если у виртуальной машины несколько IP адресов и нужны различные правила для каждого из них?
vShield Zones разрешает/запрещает трафик на определенный порт, но ввиду того, что это отдельная машина и на защищаемых ВМ не устанавливается никаких агентов, то, разумеется, нельзя открыть/закрыть доступ на уровне приложений.
Так и думал.
А если рассматривать с точки зрения единой точки отказа, что будет если виртуальная машина vShield выйдет из строя и будет недоступна? Отразится ли это на работе других виртуальных машин, использующих этот файервол?
Дмитрий, ответ очевиден
Если выйдет из строя ВМ, которая работает роутером, то внешняя сеть будет недоступна для всех ВМ, которые она защищает.
Однако я уверен на 100% (в силу отсутствия официальных документов, иначе я бы просто знал), что организован мониторинг как демонов, занимающихся роутингом и файрволлингом, так и самой ВМ — экземпляра vShield со стороны vShield Manager. Напомню, что vShield Manager имеет доступ к vCenter и при необходимости может оповестить администратора и / или перезапустить конкретный экзмепляр vShield.
Добавлю. Все виртуальные модули-файрволлы (virtual appliances) работают ровно по той же самой схеме, вне зависимости от того, платные они или бесплатные, и от производителя, будь то CheckPoint, Vyatta или VMware (BlueLane).
Хороший у вас сайт!
Тогда чем кроме центральной консоли vShield Zones отличается от файервола Windows Server 2008 R2 защищающего хостовые и гостевые системы работающие по Hyper-V?
Функционал от BlueLane начали встраиват в продукты VMWare в 2008 году. А до этого как с файерволом было? Неужели совсем не защищали никак?
Виталий,
1) vShield Zones работают по приниципиально иной схеме и являются полностью независимыми от родительского раздела (service console в терминологии ESX).
2) vShield Zones являются одним из вариантов модульной архитектуры, которой нет в Hyper-V.
3) vShield Zones позволяют в несколько кликов получать статистику сети с разбиением по протоколам. Причем статистика собирается и в режиме «firewall off» aka «allow all».
4) Ну и если что, то главное отличие vShield Zones от Windows Firewall в том, что Windows Firewall отсутствует и в приниципе неприменим даже по схеме работы к VMware ESX.