• vShield Zones

    imagesCA7KEZJ2 vShield Zones – это система файрволлов на каждом ESX + управляющая консоль. Файрволлы (vShield), как и консоль (vShield Manager), являются просто виртуальными машинами.

    Принцип работы очень прост, у каждой vShield три сетевых интерфейса: mgmt, unprot и prot, которые подключены в соотв. портгруппы. Для коммуникации с vShield Manager используется mgmt интерфейс, обладающий собственным IP, unprot ловит все пакеты, проходящие через vSwitch, а после обработки пакеты отдаются во второй vSwitch (не имеющий физических аплинков) через prot интерфейс. В данном случае VMware не стала изобретать велосипед и просто купила компанию, специализирующуюся на таких решениях – BlueLane.

    Установка проходит при минимальном уровне участия администратора, все сетевые изменения проводятся автоматически. Сами же машины vShield и vShield Manager все ближе к черным ящикам. Хоть там и стоит какой-то дистрибутив Linux, но стандартной консоли просто нет, доступно лишь небольшое количество команд для конфигурирования и траблшутинга, причем при развертывании vShield машины из шаблона vShield Manager конфигурирует ее самостоятельно.

    Скриншот сетевых настроек ESX после установки vShield, на котором все прекрасно видно:

    В данном случае приведена картинка для традиционной схемы vSwitch’ей, но vShield работает и с vNetwork Distributed Switch.
    Почему сделана работа с двумя vSwitch’ами? Машины принудительно подключаются (или переключаются при установке) во второй vSwitch, не имеющий физических аплинков и соотв. изначально весь трафик пойдет только и исключительно через vShield.
    Огромный плюс vShield Zones в том, что не требуется никакого изменения сетевых настроек или адресации в гостевых системах, vShield полностью прозрачный файрволл.

    В итоге мы имеем центральную консоль управления, встраивающуюся в vCenter, хотя можно управлять ей и просто через браузер. В этой консоли, например, можно посмотреть подробную статистику сетевой активности одной ВМ, хоста, кластера и вплоть до всего датацентра (если на всех без исключения хостах установлены vShield). В качестве примера приведена статистика для контроллера домена тестовой зоны:

    Ну или в цифрах:

    Буквально двумя кликами дальше можно создать правило для любого протокола:

    Общее впечатление достаточно приятное. Интеграция пока немножко страдает, но BlueLane была приобретена всего в октябре 2008, в будущем шероховатости сгладятся. Настройки файрволла достаточно разветвленные и позволяют серьезно повысить уровень безопасности виртуальных машин в сети.

    vShield Zones включена в комплект начиная с редакции vSphere Advanced, т.е. эту функциональность получают также и все Enterprise пользователи VI3. Если, конечно, у них была активная поддержка 🙂

    Антон Жбанков

    http://blog.vadmin.ru

Комментарии

  1. Действительно, впечатления просто великолепные. Системы vShield Zones просто супер:)

  2. Может немножко дуратский вопрос – но чем это принципиально лучше отдельных фаерволов в гостевых ос?

  3. Ровно тем же, чем аппаратные файрволлы лучше программных – независимостью от того, какая ОС установлена на сервере.
    Настройки файрволла применяются сразу ко всем экземплярам vShield, на уровне датацентра, кластера или к конкретному хосту.

    Да, несомненно можно найти программное решение, не уступающее vShield, или даже превосходящее, особенно если у нас заранее известная инфраструктура. Но сколько оно будет стоить вместе со всеми консолями централизованного управления и сводной статистики?

    vShield Zones не идеальное и даже не лучшее на рынке решение, это решение обеспечивает некоторый уровень защиты и некоторый уровень интеграции с vSphere. Но самое главное – оно идет в комплекте с лицензией на vSphere, начиная с редакции Advanced. Если вам этого уровня защиты достаточно, то “зачем платить больше”?

    У меня цели доказать, что vShield лучше, чем отдельные файрволлы, или что отдельные файрволлы вообще не нужны. Моя цель – рассказать о том, что такое решение есть и как оно работает, не более того. Выбор за вами, вы лучше знаете специфику своей инфраструктуры.

  4. Если сравнивать с файерволами в гостевых машинах, vShield поддерживает создание правил для конкретных приложений (например, разрешить определенной службе исходящий трафик на определенные порты)? Или например, если у виртуальной машины несколько IP адресов и нужны различные правила для каждого из них?

  5. vShield Zones разрешает/запрещает трафик на определенный порт, но ввиду того, что это отдельная машина и на защищаемых ВМ не устанавливается никаких агентов, то, разумеется, нельзя открыть/закрыть доступ на уровне приложений.

  6. Так и думал. 🙂 А если рассматривать с точки зрения единой точки отказа, что будет если виртуальная машина vShield выйдет из строя и будет недоступна? Отразится ли это на работе других виртуальных машин, использующих этот файервол?

  7. Дмитрий, ответ очевиден 🙂 Если выйдет из строя ВМ, которая работает роутером, то внешняя сеть будет недоступна для всех ВМ, которые она защищает.
    Однако я уверен на 100% (в силу отсутствия официальных документов, иначе я бы просто знал), что организован мониторинг как демонов, занимающихся роутингом и файрволлингом, так и самой ВМ – экземпляра vShield со стороны vShield Manager. Напомню, что vShield Manager имеет доступ к vCenter и при необходимости может оповестить администратора и / или перезапустить конкретный экзмепляр vShield.

  8. Добавлю. Все виртуальные модули-файрволлы (virtual appliances) работают ровно по той же самой схеме, вне зависимости от того, платные они или бесплатные, и от производителя, будь то CheckPoint, Vyatta или VMware (BlueLane).

  9. Хороший у вас сайт!

  10. Тогда чем кроме центральной консоли vShield Zones отличается от файервола Windows Server 2008 R2 защищающего хостовые и гостевые системы работающие по Hyper-V?

    Функционал от BlueLane начали встраиват в продукты VMWare в 2008 году. А до этого как с файерволом было? Неужели совсем не защищали никак?

  11. Виталий,
    1) vShield Zones работают по приниципиально иной схеме и являются полностью независимыми от родительского раздела (service console в терминологии ESX).
    2) vShield Zones являются одним из вариантов модульной архитектуры, которой нет в Hyper-V.
    3) vShield Zones позволяют в несколько кликов получать статистику сети с разбиением по протоколам. Причем статистика собирается и в режиме “firewall off” aka “allow all”.
    4) Ну и если что, то главное отличие vShield Zones от Windows Firewall в том, что Windows Firewall отсутствует и в приниципе неприменим даже по схеме работы к VMware ESX.

  12. покопался в интете касательно vShield Zones, многовсего почитал да и вашу статью, теперь думаю рискнуть попробовать, будут проблемки обращусь:0 статейки интересная, спасибо