Giới thiệu về Security Profiles của VMware ESX Server

Giới thiệu về Security Profiles của VMware ESX ServerPhần mềm tường lửa có trong VMware ESX Server được gọi là “security profile”. Để dễ hiểu hơn, bạn có thể cho rằng tường lửa này chính là tường lửa cho toàn bộ cấu hình – gồm có giao diện của dịch vụ (nếu không phải là máy chủ ESXi), tuy nhiên cũng không phải là các máy khách ảo đang chạy trên host. Với tư cách cá nhân ban đầu tôi chỉ mong rằng nó vẫn được gọi là tường lửa (firewall), tuy nhiên thuật ngữ “security profile” đã ngày càng...
Nội dung trích xuất từ tài liệu:
Giới thiệu về Security Profiles của VMware ESX Server Giới thiệu về Security Profiles của VMware ESX ServerPhần mềm tường lửa có trong VMware ESX Server được gọi là “securityprofile”. Để dễ hiểu hơn, bạn có thể cho rằng tường lửa này chính là tườnglửa cho toàn bộ cấu hình – gồm có giao diện của dịch vụ (nếu không phải làmáy chủ ESXi), tuy nhiên cũng không phải là các máy khách ảo đang chạytrên host. Với tư cách cá nhân ban đầu tôi chỉ mong rằng nó vẫn được gọi làtường lửa (firewall), tuy nhiên thuật ngữ “security profile” đã ngày càng thểhiện sự rõ nét của nó. Hy vọng rằng sau khi đọc xong bài này các bạn sẽ thuhoạch được nhiều vấn đề. Hãy tìm hiểu cách làm việc, cấu hình nó trongGUI & CLI, và tại sao nó lại quan trọng đối với bạn đến vậy khi bạn là mộtVMware Admin.Cách làm việc của Security ProfileDo security profile của VMware ESX Server là một phần mềm tường lửacủa ESX Server nên công việc của nó là nhằm mục đích kiểm tra các lưulượng gửi đến và gửi đi đối của các cổng TCP & UDP với ESX server. Thựchiện công việc này nhằm bảo đảm cho máy chủ tránh được các tấn công củacác phần tử xấu trên mạng.Mặc định, chỉ có các kết nối gửi đến cụ thể nào đó mới được phép gửi đếnVMware ESX Server. Đặc biệt, (trên ESX 3.5 Server) chỉ có SSH và cáccổng có liên quan đến các dịch vụ quản lý VMware Infrastructure & VirtualCenter mới được cho phép gửi đến. Nếu muốn truy cập vào máy chủ bằngbất kỳ một ứng dụng khác nào, gửi đến, thì bạn cần phải mở cổng cụ thể đó.Tại sao Security Profile lại quan trọng đối với các Admin của ESXServer như vậy?Security Profile của VMware ESX Server rất quan trọng đối với bạn (nếubạn là một quản trị viên ESX Server) vì một số lý do sau:  Bạn có thể hiểu được cách ESX Server của mình được bảo vệ tránh cách tấn công như thế nào vào để từ đó có cách bảo vệ đúng đắn cho máy chủ của mình.  Nếu có các dịch vụ ESX có thể kích hoạt, chẳng hạn như FTP hoặc NTP, thì bạn sẽ cần phải mở các cổng security profile.  Nếu cài đặt bất kỳ các ứng dụng nào của các hãng thứ ba trên máy chủ, bạn cũng cần mở các cổng.Cách cấu hình Security Profiles trong VMware ESX Server VI ClientĐể cấu hình Security Profiles trong VMware Infrastructure Client (VIClient), bạn hãy khởi động máy khách này, đăng nhập và kích vào ESXServer, xem thể hiện trong hình 1 bên dưới.Hình 1: Truy cập vào Security Profiles của VMware ESX ServerTiếp đến bạn cần phải kích vào tab Configuration, sau đó là SecurityProfile (bên dưới Software), xem trong hình 1.Từ đây, có thể thấy (ở bên trái) các cổng của Security Profiles gì (tường lửa)đã được mở trên máy chủ của bạn (cả lưu lượng gửi đến và gửi đi). Cho vídụ, trên máy chủ này, bạn có thể thấy các dịch vụ SSH và CIM (đã được sửdụng cho VI Client và Virtual Center) đều được mở tất đối với lưu lượng gửiđến. Lưu lượng gửi đi, SSH, Virtual center, VMware License server, iSCSI,NTP, và VCB, tất cả cũng được mở.Hình 2: Quan sát trạng thái của Security Profiles và cấu hình các thuộc tínhcủa Security ProfilesVậy cách thực hiện thay đổi các cổng đã mở như thế nào (cả gửi đến lẫn gửiđi)? Câu trả lời chính là việc kích vào Properties trong Security Profiles,xem trong hình 2 bên trên.Khi bạn kích vào các thuộc tính của Security Profiles, bạn sẽ thấy một cửasổ mới xuất hiện giống như trong hình dưới đây:Hình 3: Cấu hình các thuộc tính của Security ProfilesTừ cửa sổ các thuộc tính của Security Profiles, bạn có thể kích hoạt các ứngdụng và các cổng đã được cấu hình từ trước.Hãy cho rằng chúng ta muốn kích hoạt các dịch vụ SNMP cho cả lưu lượnggửi đến và gửi đi. Để thực hiện nhiệm vụ này, bạn hãy tích vào hộp kiểmbên cạnh dịch vụ đó. Trong trường hợp của chúng tôi ở ví dụ này, chúng tôiđã kích hoạt SNMP Server port, cho phép lưu lượng UDP gửi đến trên cổng161 và lưu lượng UDP trên cổng 161. Lưu ý rằng SNMP không được kết nốivới một tiện ích cụ thể nào như SSH server. Để áp dụng các thay đổi, kíchOK.Nhiều khi bạn cần phải mở một cổng trong tường lửa cho các ứng dụngkhác. Cho ví dụ nếu bạn muốn sử dụng iSCSI.Nếu một cổng được kết nối với một tiện ích và bạn chọn cổng nào đó rồi,khi đó hoàn toàn có thể kích nút Option cho cổng và xem các dịch vụ cóliên quan giống như trong hình dưới đây:Hình 4: Các thuộc tính của tiện ích và dịch vụVì không muốn tạo ra bất cứ một thay đổi nào cho dịch vụ nên trong ví dụchúng tôi đã kích OK.Lưu ý rằng bạn sẽ bị hạn chế đối với các ứng dụng được cấu hình trước vàbất cứ cổng gửi đến và gửi đi nào của chúng cũng đều được cấu hình trướccho ứng dụng đó. Thêm vào đó, từ giao diện GUI bạn cũng không thể bổsung thêm các cổng hoặc ứng dụng mới nào.Cách cấu hình Security Profiles từ command line (CLI)Để cấu hình Security Profiles từ tiện ích dòng lệnh, bạn hãy sử dụng lệnhesxcfg-firewall. Bạn cần phải đăng nhập trước khi sử dụng lệnh này.Cú pháp của lệnh rất đơn giản. Để xem các tùy chọn của lệnh, bạn chỉ cầnđá ...