Giới thiệu về Security Profiles của VMware ESX Server

Giới thiệu về Security Profiles của VMware ESX Server

Phần mềm tường lửa có trong VMware ESX Server được gọi là “security profile”. Để dễ hiểu hơn, bạn có thể cho rằng tường lửa này chính là tường lửa cho toàn bộ cấu hình – gồm có giao diện của dịch vụ (nếu không phải là máy chủ ESXi), tuy nhiên cũng không phải là các máy khách ảo đang chạy trên host. Với tư cách cá nhân ban đầu tôi chỉ mong rằng nó vẫn được gọi là tường lửa (firewall), tuy nhiên thuật ngữ “security profile” đã ngày càng thể hiện sự rõ nét của nó. Hy vọng rằng sau khi đọc xong bài này các bạn sẽ thu hoạch được nhiều vấn đề. Hãy tìm hiểu cách làm việc, cấu hình nó trong GUI & CLI, và tại sao nó lại quan trọng đối với bạn đến vậy khi bạn là một VMware Admin.


Cách làm việc của Security Profile


Do security profile của VMware ESX Server là một phần mềm tường lửa của ESX Server nên công việc của nó là nhằm mục đích kiểm tra các lưu lượng gửi đến và gửi đi đối của các cổng TCP & UDP với ESX server. Thực hiện công việc này nhằm bảo đảm cho máy chủ tránh được các tấn công của các phần tử xấu trên mạng.
Mặc định, chỉ có các kết nối gửi đến cụ thể nào đó mới được phép gửi đến VMware ESX Server. Đặc biệt, (trên ESX 3.5 Server) chỉ có SSH và các cổng có liên quan đến các dịch vụ quản lý VMware Infrastructure & Virtual Center mới được cho phép gửi đến. Nếu muốn truy cập vào máy chủ bằng bất kỳ một ứng dụng khác nào, gửi đến, thì bạn cần phải mở cổng cụ thể đó.


Tại sao Security Profile lại quan trọng đối với các Admin của ESX Server như vậy?


Security Profile của VMware ESX Server rất quan trọng đối với bạn (nếu bạn là một quản trị viên ESX Server) vì một số lý do sau:

• Bạn có thể hiểu được cách ESX Server của mình được bảo vệ tránh cách tấn công như thế nào vào để từ đó có cách bảo vệ đúng đắn cho máy chủ của mình.
• Nếu có các dịch vụ ESX có thể kích hoạt, chẳng hạn như FTP hoặc NTP, thì bạn sẽ cần phải mở các cổng security profile.
• Nếu cài đặt bất kỳ các ứng dụng nào của các hãng thứ ba trên máy chủ, bạn cũng cần mở các cổng.

Cách cấu hình Security Profiles trong VMware ESX Server VI Client


Để cấu hình Security Profiles trong VMware Infrastructure Client (VI Client), bạn hãy khởi động máy khách này, đăng nhập và kích vào ESX Server, xem thể hiện trong hình 1 bên dưới.

Hình 1: Truy cập vào Security Profiles của VMware ESX Server

Tiếp đến bạn cần phải kích vào tab Configuration, sau đó là Security Profile (bên dưới Software), xem trong hình 1.
Từ đây, có thể thấy (ở bên trái) các cổng của Security Profiles gì (tường lửa) đã được mở trên máy chủ của bạn (cả lưu lượng gửi đến và gửi đi). Cho ví dụ, trên máy chủ này, bạn có thể thấy các dịch vụ SSH và CIM (đã được sử dụng cho VI Client và Virtual Center) đều được mở tất đối với lưu lượng gửi đến. Lưu lượng gửi đi, SSH, Virtual center, VMware License server, iSCSI, NTP, và VCB, tất cả cũng được mở.

Hình 2: Quan sát trạng thái của Security Profiles và cấu hình các thuộc tính của Security Profiles

Vậy cách thực hiện thay đổi các cổng đã mở như thế nào (cả gửi đến lẫn gửi đi)? Câu trả lời chính là việc kích vào Properties trong Security Profiles, xem trong hình 2 bên trên.
Khi bạn kích vào các thuộc tính của Security Profiles, bạn sẽ thấy một cửa sổ mới xuất hiện giống như trong hình dưới đây:

Hình 3: Cấu hình các thuộc tính của Security Profiles

Từ cửa sổ các thuộc tính của Security Profiles, bạn có thể kích hoạt các ứng dụng và các cổng đã được cấu hình từ trước.
Hãy cho rằng chúng ta muốn kích hoạt các dịch vụ SNMP cho cả lưu lượng gửi đến và gửi đi. Để thực hiện nhiệm vụ này, bạn hãy tích vào hộp kiểm bên cạnh dịch vụ đó. Trong trường hợp của chúng tôi ở ví dụ này, chúng tôi đã kích hoạt SNMP Server port, cho phép lưu lượng UDP gửi đến trên cổng 161 và lưu lượng UDP trên cổng 161. Lưu ý rằng SNMP không được kết nối với một tiện ích cụ thể nào như SSH server. Để áp dụng các thay đổi, kích OK.
Nhiều khi bạn cần phải mở một cổng trong tường lửa cho các ứng dụng khác. Cho ví dụ nếu bạn muốn sử dụng iSCSI.
Nếu một cổng được kết nối với một tiện ích và bạn chọn cổng nào đó rồi, khi đó hoàn toàn có thể kích nút Option cho cổng và xem các dịch vụ có liên quan giống như trong hình dưới đây:

Hình 4: Các thuộc tính của tiện ích và dịch vụ

Vì không muốn tạo ra bất cứ một thay đổi nào cho dịch vụ nên trong ví dụ chúng tôi đã kích OK.
Lưu ý rằng bạn sẽ bị hạn chế đối với các ứng dụng được cấu hình trước và bất cứ cổng gửi đến và gửi đi nào của chúng cũng đều được cấu hình trước cho ứng dụng đó. Thêm vào đó, từ giao diện GUI bạn cũng không thể bổ sung thêm các cổng hoặc ứng dụng mới nào.


Cách cấu hình Security Profiles từ command line (CLI)


Để cấu hình Security Profiles từ tiện ích dòng lệnh, bạn hãy sử dụng lệnh esxcfg-firewall. Bạn cần phải đăng nhập trước khi sử dụng lệnh này.
Cú pháp của lệnh rất đơn giản. Để xem các tùy chọn của lệnh, bạn chỉ cần đánh lệnh esxcfg-firewall, và nhấn Enter (xem trong hình 5 bên dưới).

Hình 5: Cú pháp của lệnh esxcfg-firewall

Để quan sát các cổng mở, bạn hãy sử dụng tùy chọn esxcfg-firewall -q.
Để mở một cổng nào đó, bạn đánh một lệnh tương tự như dưới đây:
[root@ESX3 root]# esxcfg-firewall -o 1000,tcp,in,test
Mặc dù vậy, không nên mong đợi sự thay đổi của CLI hiện lên trong giao diện GUI.
Bạn cũng có thể cấu hình một dải các cổng, giống như dưới đây:


[root@ESX3 root]# esxcfg-firewall -o 1000:1050,tcp,in,test


Kết luận


Trong bài này chúng tôi đã giới thiệu cho các bạn về phần mềm tường lửa có trong VMware ESX Server – “Security Profiles”. Bạn đã thấy được cách Security Profiles làm việc như thế nào, cùng với đó là cách cấu hình nó trong GUI & CLI và tại sao nó lại quan trọng đối với các quản trị viên Vmware như vậy.


Văn Linh (Theo VirtualizationAdmin)