Handbuch zur Serverkonfiguration für ESX - VMware
Handbuch zur Serverkonfiguration für ESX - VMware
Handbuch zur Serverkonfiguration für ESX - VMware
Sie wollen auch ein ePaper? Erhöhen Sie die Reichweite Ihrer Titel.
YUMPU macht aus Druck-PDFs automatisch weboptimierte ePaper, die Google liebt.
Kapitel 14 Sicherheit der Servicekonsole<br />
Konfiguration der Servicekonsolen-Firewall<br />
<strong>ESX</strong> bietet eine Firewall zwischen der Servicekonsole und dem Netzwerk. Damit die Integrität der Servicekonsole<br />
sichergestellt ist, hat <strong>VMware</strong> die Anzahl an standardmäßig freigegebenen Firewall-Ports reduziert.<br />
Bei der Installation wird die Firewall der Servicekonsole so konfiguriert, dass der gesamte ein- und ausgehende<br />
Datenverkehr auf allen Ports außer <strong>für</strong> die Ports 22, 123, 427, 443, 902, 5989 und 5988 blockiert wird. Die<br />
genannten Ports werden <strong>für</strong> die grundlegende Kommunikation mit <strong>ESX</strong> verwendet. Durch diese Einstellung<br />
ist die Sicherheitsstufe <strong>für</strong> den Host sehr hoch.<br />
HINWEIS Die Firewall lässt auch Internet Control Message Protocol (ICMP)-Pings und Kommunikation mit<br />
DHCP- und DNS- Clients (nur UDP) zu.<br />
In vertrauenswürdigen Umgebungen kann eine niedrigere Sicherheitsstufe möglich sein. In diesem Fall können<br />
Sie die Firewall entweder auf mittlere oder niedrige Sicherheit setzen.<br />
Mittlere Sicherheit<br />
Niedrige Sicherheit<br />
Der gesamte eingehende Datenverkehr wird blockiert, ausgenommen Datenverkehr<br />
auf den Standardports sowie auf allen Ports, die Sie freigeben. Ausgehender<br />
Datenverkehr wird nicht blockiert.<br />
Weder eingehender noch ausgehender Datenverkehr wird blockiert. Diese<br />
Einstellung entspricht der Deaktivierung der Firewall.<br />
Da die standardmäßig freigegebenen Ports stark beschränkt sind, müssen Sie ggf. nach der Installation zusätzliche<br />
Ports freigeben. Eine Liste häufig verwendeter Ports, die Sie ggf. freigeben müssen, finden Sie unter<br />
„TCP- und UDP-Ports <strong>für</strong> den Verwaltungszugriff“, auf Seite 177.<br />
Durch Hinzufügen unterstützter Dienste und Verwaltungs-Agenten, die zum effektiven Betrieb von <strong>ESX</strong> notwendig<br />
sind, werden weitere Ports in der Firewall der Servicekonsole freigegeben. Dienste und Verwaltungs-<br />
Agenten werden über vCenter Server hinzugefügt (siehe „Konfigurieren von Firewallports <strong>für</strong> unterstützte<br />
Dienste und Verwaltungs-Agenten“, auf Seite 174.).<br />
Neben den Ports, die <strong>für</strong> diese Dienste und Agenten freigegeben werden, müssen Sie eventuell andere Ports<br />
freigeben, wenn Sie bestimmte Geräte, Dienste oder Agenten, z. B. Speichergeräte, Sicherungs- oder Verwaltungs-Agenten,<br />
konfigurieren. Wenn Sie zum Beispiel Veritas NetBackup4.5 als Sicherungs-Agenten verwenden,<br />
müssen Sie die Ports 13720, 13724, 13782 und 13783 freigeben, die NetBackup <strong>für</strong> Client-Medien-<br />
Übertragungen, Datenbanksicherungen, Benutzersicherungen und -wiederherstellungen usw. verwendet. Informationen<br />
zu den <strong>für</strong> bestimmte Anwendungen freizugebenden Ports finden Sie in den Herstellerspezifikationen<br />
<strong>für</strong> das Gerät, den Dienst oder den Agenten.<br />
HINWEIS Zum Ändern von Standard-Firewall-Regeln <strong>für</strong> die Servicekonsole dürfen Sie keine anderen Befehle<br />
oder Dienstprogramme als esxcfg-firewall verwenden. Wenn Sie mittels eines Linux-Befehls die Standardeinstellungen<br />
ändern, werden Ihre Änderungen ignoriert und von den <strong>für</strong> diesen Dienst vom Befehl esxcfgfirewall<br />
angegebenen Standardwerten überschrieben.<br />
<strong>VMware</strong>, Inc. 215