或者我是否需要为每个访客服务器操作系统pipe理每个防火墙?
我是否都这样做? 主机上的硬件防火墙,每台服务器上的软件防火墙
这里最好的做法是什么?
请记住,如果您的networking中有多个子网(即使是小型networking也是如此),您的ESX(i)主机将在其中一个上具有pipe理IP,但是您的客户虚拟机将分布在它们之间取决于你的需求; 因此,在主机的pipe理连接之前放置防火墙将不会保护来宾虚拟机。
这意味着,只有当主机和来宾所在的单一networking时,您的问题才有意义。 在这种情况下,这取决于您的设置和需求; 每台机器上都有一个防火墙,给你更多的灵活性,在它们前面有一个全局防火墙,可以为你提供两层防护。
纵深防御,我的朋友。 我的策略是用专用的防火墙设备(硬件防火墙有点用词不当)以及在每个虚拟机(iptables或Windows Advanced防火墙)上运行的主机防火墙来保护我的主机和虚拟机。
“最佳实践”是同时拥有组织防火墙和基于主机的防火墙。
但是,如果在ESXi服务器之前正确configuration硬件防火墙,则无需基于主机(来宾)的防火墙就可以进行外部防护。 在这种情况下,您的漏洞将是服务器到服务器的stream量开放。