Dentro de los productos vShiel de vmware podemos encontrar vShiel Edge que no es más que un firewall a nivel de grupo de puertos de switch virtual, que nos permite proteger y aislar máquinas virtuales sin tener que usar VLANs.
El esquema de funcionamiento sería el siguiente:
El esquema de funcionamiento sería el siguiente:
En el esquema podemos ver que las máquinas a proteger o aislar se conectan a un grupo de puertos de un switch virtual, al configurar vShield Edge en este grupo de puertos se crea una máquina virtual con conexión a la red externa y a la red interna protegida. Esta máquina virtual será el Gateway de nuestras máquinas protegidas y así podremos configurar el firewall, NAT, DHCP y hasta VPNs del vShield Edge de este grupo de puertos según la seguridad que necesitemos.
A continuación se detallan los pasos a seguir para su instalación y configuración:
- Desplegar el OVA de vShield Manager que nos permite administrar todos los componentes de vShield, entre ellos vShield Edge.
IMPORTANTE: Necesitamos 8GB de RAM Y 2 terjetas de red
- Configurar los parámetros de red de vShield Manager
- Abrir una consola de la máquina virtual vShiel Manager
- Entrar con usuario admin y password default
- Teclear enable y password default
- Teclear el comando setup e introducir los datos de red
- Entrar en la interface web de vShield Manager para conectar con Virtual Center, con usuario admin y password default
- Registrar el Plug-in del cliente vSphere
- Instalar las licencias de vShield Edge, ya sean de prueba o definitivas han de introducidas en el administrador de licencias de Virtual Center.
- Desde el vSphere Client seleccionar la pestaña vShield del host a configurar, aceptar el certificado de seguridad y instalar el servicio vShield Edge Port Group Isolation (esta funcionalidad es opcional y sólo está disponible en instalaciones sobre switchs virtuales distribuidos)
- En la pestaña vShield Edge del grupo de puertos a proteger introducir los siguientes datos:
- External: datos de red de la máquina virtual vShield Edge para que tenga acceso a la red externa.
- Internal: datos de la red interna a proteger, esta será la puerta de enlace de las máquinas conectadas a este grupo de puertos
- Install
- Una vez instalado nos parecerán las pestañas Firewal, NAT, DHCP, VPN y LOAD BALANCER que podremos configurar según necesidades
- Por defecto el firewall está configurado “ALLOW”, deberemos configurar las reglas según necesidad. Por ejemplo:
- Para que las máquinas tengan acceso a Internet deberemos configurar el NAT de salida (SNAT)
Esta configuración simplemente nos permite controlar la entrada y salida de las máquinas virtuales conectadas en este grupo de puertos, pero se puede configurar DHCP, VPNs e includo un balanceador de carga.