GiớithiệuvềSecurityProfilescủaVMwareESXServer
Phần mềm tường lửa có trong VMwareESXServer được gọi là “security
profile”. Để dễ hiểu hơn, bạn có thể cho rằng tường lửa này chính là tường
lửa cho toàn bộ cấu hình – gồm có giao diện của dịch vụ (nếu không phải là
máy chủ ESXi), tuy nhiên cũng không phải là các máy khách ảo đang chạy
trên host. Với tư cách cá nhân ban đầu tôi chỉ mong rằng nó vẫn được gọi là
tường lửa (firewall), tuy nhiên thuật ngữ “security profile” đã ngày càng thể
hiện sự rõ nét của nó. Hy vọng rằng sau khi đọc xong bài này các bạn sẽ thu
hoạch được nhiều vấn đề. Hãy tìm hiểu cách làm việc, cấu hình nó trong
GUI & CLI, và tại sao nó lại quan trọng đối với bạn đến vậy khi bạn là một
VMware Admin.
Cách làm việc củaSecurity Profile
Do security profile củaVMwareESXServer là một phần mềm tường lửa
của ESXServer nên công việc của nó là nhằm mục đích kiểm tra các lưu
lượng gửi đến và gửi đi đối của các cổng TCP & UDP với ESX server. Thực
hiện công việc này nhằm bảo đảm cho máy chủ tránh được các tấn công của
các phần tử xấu trên mạng.
Mặc định, chỉ có các kết nối gửi đến cụ thể nào đó mới được phép gửi đến
VMware ESX Server. Đặc biệt, (trên ESX 3.5 Server) chỉ có SSH và các
cổng có liên quan đến các dịch vụ quản lý VMware Infrastructure & Virtual
Center mới được cho phép gửi đến. Nếu muốn truy cập vào máy chủ bằng
bất kỳ một ứng dụng khác nào, gửi đến, thì bạn cần phải mở cổng cụ thể đó.
Tại sao Security Profile lại quan trọng đối với các Admin củaESX
Server như vậy?
Security Profile củaVMwareESXServer rất quan trọng đối với bạn (nếu
bạn là một quản trị viên ESX Server) vì một số lý do sau:
Bạn có thể hiểu được cách ESXServercủa mình được bảo vệ tránh
cách tấn công như thế nào vào để từ đó có cách bảo vệ đúng đắn cho
máy chủ của mình.
Nếu có các dịch vụ ESX có thể kích hoạt, chẳng hạn như FTP hoặc
NTP, thì bạn sẽ cần phải mở các cổng security profile.
Nếu cài đặt bất kỳ các ứng dụng nào của các hãng thứ ba trên máy
chủ, bạn cũng cần mở các cổng.
Cách cấu hình SecurityProfiles trong VMwareESXServer VI Client
Để cấu hình SecurityProfiles trong VMware Infrastructure Client (VI
Client), bạn hãy khởi động máy khách này, đăng nhập và kích vào ESX
Server, xem thể hiện trong hình 1 bên dưới.
Hình 1: Truy cập vào SecurityProfilescủaVMwareESXServer
Tiếp đến bạn cần phải kích vào tab Configuration, sau đó là Security
Profile (bên dưới Software), xem trong hình 1.
Từ đây, có thể thấy (ở bên trái) các cổng củaSecurityProfiles gì (tường lửa)
đã được mở trên máy chủ của bạn (cả lưu lượng gửi đến và gửi đi). Cho ví
dụ, trên máy chủ này, bạn có thể thấy các dịch vụ SSH và CIM (đã được sử
dụng cho VI Client và Virtual Center) đều được mở tất đối với lưu lượng gửi
đến. Lưu lượng gửi đi, SSH, Virtual center, VMware License server, iSCSI,
NTP, và VCB, tất cả cũng được mở.
Hình 2: Quan sát trạng thái củaSecurityProfiles và cấu hình các thuộc tính
của SecurityProfiles
Vậy cách thực hiện thay đổi các cổng đã mở như thế nào (cả gửi đến lẫn gửi
đi)? Câu trả lời chính là việc kích vào Properties trong Security Profiles,
xem trong hình 2 bên trên.
Khi bạn kích vào các thuộc tính củaSecurity Profiles, bạn sẽ thấy một cửa
sổ mới xuất hiện giống như trong hình dưới đây:
Hình 3: Cấu hình các thuộc tính củaSecurityProfiles
Từ cửa sổ các thuộc tính củaSecurity Profiles, bạn có thể kích hoạt các ứng
dụng và các cổng đã được cấu hình từ trước.
Hãy cho rằng chúng ta muốn kích hoạt các dịch vụ SNMP cho cả lưu lượng
gửi đến và gửi đi. Để thực hiện nhiệm vụ này, bạn hãy tích vào hộp kiểm
bên cạnh dịch vụ đó. Trong trường hợp của chúng tôi ở ví dụ này, chúng tôi
đã kích hoạt SNMP Server port, cho phép lưu lượng UDP gửi đến trên cổng
161 và lưu lượng UDP trên cổng 161. Lưu ý rằng SNMP không được kết nối
với một tiện ích cụ thể nào như SSH server. Để áp dụng các thay đổi, kích
OK.
Nhiều khi bạn cần phải mở một cổng trong tường lửa cho các ứng dụng
khác. Cho ví dụ nếu bạn muốn sử dụng iSCSI.
Nếu một cổng được kết nối với một tiện ích và bạn chọn cổng nào đó rồi,
khi đó hoàn toàn có thể kích nút Option cho cổng và xem các dịch vụ có
liên quan giống như trong hình dưới đây:
Hình 4: Các thuộc tính của tiện ích và dịch vụ
Vì không muốn tạo ra bất cứ một thay đổi nào cho dịch vụ nên trong ví dụ
chúng tôi đã kích OK.
Lưu ý rằng bạn sẽ bị hạn chế đối với các ứng dụng được cấu hình trước và
bất cứ cổng gửi đến và gửi đi nào của chúng cũng đều được cấu hình trước
cho ứng dụng đó. Thêm vào đó, từ giao diện GUI bạn cũng không thể bổ
sung thêm các cổng hoặc ứng dụng mới nào.
Cách cấu hình SecurityProfiles từ command line (CLI)
Để cấu hình SecurityProfiles từ tiện ích dòng lệnh, bạn hãy sử dụng lệnh
esxcfg-firewall. Bạn cần phải đăng nhập trước khi sử dụng lệnh này.
Cú pháp của lệnh rất đơn giản. Để xem các tùy chọn của lệnh, bạn chỉ cần
đánh lệnh esxcfg-firewall, và nhấn Enter (xem trong hình 5 bên dưới).
Hình 5: Cú pháp của lệnh esxcfg-firewall
Để quan sát các cổng mở, bạn hãy sử dụng tùy chọn esxcfg-firewall -q.
Để mở một cổng nào đó, bạn đánh một lệnh tương tự như dưới đây:
[root@ESX3 root]# esxcfg-firewall -o 1000,tcp,in,test
Mặc dù vậy, không nên mong đợi sự thay đổi của CLI hiện lên trong giao
diện GUI.
Bạn cũng có thể cấu hình một dải các cổng, giống như dưới đây:
[root@ESX3 root]# esxcfg-firewall -o 1000:1050,tcp,in,test
Kết luận
Trong bài này chúng tôi đã giớithiệu cho các bạn về phần mềm tường lửa có
trong VMwareESXServer – “Security Profiles”. Bạn đã thấy được cách
Security Profiles làm việc như thế nào, cùng với đó là cách cấu hình nó
trong GUI & CLI và tại sao nó lại quan trọng đối với các quản trị viên
Vmware như vậy.
. Giới thiệu về Security Profiles của VMware ESX Server
Phần mềm tường lửa có trong VMware ESX Server được gọi là security
profile”
VMware Admin.
Cách làm việc của Security Profile
Do security profile của VMware ESX Server là một phần mềm tường lửa
của ESX Server nên công việc của