miércoles, 19 de enero de 2011

Instalación de vShield Edge (firewall a nivel de grupo de puertos)

Dentro de los productos vShiel de vmware podemos encontrar vShiel Edge que no es más que un firewall a nivel de grupo de puertos de switch virtual, que nos permite proteger y aislar máquinas virtuales sin tener que usar VLANs.

El esquema de funcionamiento sería el siguiente:

 
En el esquema podemos ver que las máquinas a proteger o aislar se conectan a un grupo de puertos de un switch virtual, al configurar vShield Edge en este grupo de puertos se crea una máquina virtual con conexión a la red externa y a la red interna protegida. Esta máquina virtual será el Gateway de nuestras máquinas protegidas y así podremos configurar el firewall, NAT, DHCP y hasta VPNs del vShield Edge de este grupo de puertos según la seguridad que necesitemos.

A continuación se detallan los pasos a seguir para su instalación y configuración:
  • Desplegar el OVA de vShield Manager que nos permite administrar todos los componentes de vShield, entre ellos vShield Edge.
          IMPORTANTE: Necesitamos 8GB de RAM Y 2 terjetas de red
  •  Configurar los parámetros de red de vShield Manager
    • Abrir una consola de la máquina virtual vShiel Manager 
    • Entrar con usuario admin y password default 
    • Teclear enable y password default
    • Teclear el comando setup e introducir los datos de red
  • Entrar en la interface web de vShield Manager para conectar con Virtual Center, con usuario admin y password default
  • Registrar el Plug-in del cliente vSphere




  • Instalar las licencias de vShield Edge, ya sean de prueba o definitivas han de introducidas en el administrador de licencias de Virtual Center.
  • Desde el vSphere Client seleccionar la pestaña vShield del host a configurar, aceptar el certificado de seguridad y instalar el servicio vShield Edge Port Group Isolation (esta funcionalidad es opcional y sólo está disponible en instalaciones sobre switchs virtuales distribuidos)
  • En la pestaña vShield Edge del grupo de puertos a proteger introducir los siguientes datos:
    • External: datos de red de la máquina virtual vShield Edge para que tenga acceso a la red externa.
    • Internal: datos de la red interna a proteger, esta será la puerta de enlace de las máquinas conectadas a este grupo de puertos
    • Install
  
  • Una vez instalado nos parecerán las pestañas Firewal, NAT, DHCP, VPN y LOAD BALANCER que podremos configurar según necesidades
  • Por defecto el firewall está configurado “ALLOW”, deberemos configurar las reglas según necesidad. Por ejemplo:

  • Para que las máquinas tengan acceso a Internet deberemos configurar el NAT de salida (SNAT)

 
Esta configuración simplemente nos permite controlar la entrada y salida de las máquinas virtuales conectadas en este grupo de puertos, pero se puede configurar DHCP, VPNs e includo un balanceador de carga.