Комментарии: vShield Zones http://itband.ru/2010/01/vshield-zones/ Cтатьи об IT, Доступно о сложном. Tue, 07 Feb 2012 13:42:51 +0000 hourly 1 http://wordpress.org/?v=3.3.1 Автор: alexandret http://itband.ru/2010/01/vshield-zones/comment-page-1/#comment-66175 alexandret Fri, 01 Oct 2010 22:17:53 +0000 http://itband.ru/?p=4543#comment-66175 покопался в интете касательно vShield Zones, многовсего почитал да и вашу статью, теперь думаю рискнуть попробовать, будут проблемки обращусь:0 статейки интересная, спасибо покопался в интете касательно vShield Zones, многовсего почитал да и вашу статью, теперь думаю рискнуть попробовать, будут проблемки обращусь:0 статейки интересная, спасибо

]]> Автор: Anton Zhbankov http://itband.ru/2010/01/vshield-zones/comment-page-1/#comment-62653 Anton Zhbankov Tue, 11 May 2010 06:04:09 +0000 http://itband.ru/?p=4543#comment-62653 Виталий, 1) vShield Zones работают по приниципиально иной схеме и являются полностью независимыми от родительского раздела (service console в терминологии ESX). 2) vShield Zones являются одним из вариантов модульной архитектуры, которой нет в Hyper-V. 3) vShield Zones позволяют в несколько кликов получать статистику сети с разбиением по протоколам. Причем статистика собирается и в режиме "firewall off" aka "allow all". 4) Ну и если что, то главное отличие vShield Zones от Windows Firewall в том, что Windows Firewall отсутствует и в приниципе неприменим даже по схеме работы к VMware ESX. Виталий,

1) vShield Zones работают по приниципиально иной схеме и являются полностью независимыми от родительского раздела (service console в терминологии ESX).

2) vShield Zones являются одним из вариантов модульной архитектуры, которой нет в Hyper-V.

3) vShield Zones позволяют в несколько кликов получать статистику сети с разбиением по протоколам. Причем статистика собирается и в режиме «firewall off» aka «allow all».

4) Ну и если что, то главное отличие vShield Zones от Windows Firewall в том, что Windows Firewall отсутствует и в приниципе неприменим даже по схеме работы к VMware ESX.

]]> Автор: Виталий http://itband.ru/2010/01/vshield-zones/comment-page-1/#comment-62618 Виталий Sun, 09 May 2010 06:43:09 +0000 http://itband.ru/?p=4543#comment-62618 Тогда чем кроме центральной консоли vShield Zones отличается от файервола Windows Server 2008 R2 защищающего хостовые и гостевые системы работающие по Hyper-V? Функционал от BlueLane начали встраиват в продукты VMWare в 2008 году. А до этого как с файерволом было? Неужели совсем не защищали никак? Тогда чем кроме центральной консоли vShield Zones отличается от файервола Windows Server 2008 R2 защищающего хостовые и гостевые системы работающие по Hyper-V?

Функционал от BlueLane начали встраиват в продукты VMWare в 2008 году. А до этого как с файерволом было? Неужели совсем не защищали никак?

]]> Автор: xax http://itband.ru/2010/01/vshield-zones/comment-page-1/#comment-50413 xax Fri, 26 Feb 2010 08:47:50 +0000 http://itband.ru/?p=4543#comment-50413 Хороший у вас сайт! Хороший у вас сайт!

]]> Автор: Anton Zhbankov http://itband.ru/2010/01/vshield-zones/comment-page-1/#comment-49806 Anton Zhbankov Fri, 15 Jan 2010 10:18:52 +0000 http://itband.ru/?p=4543#comment-49806 Добавлю. Все виртуальные модули-файрволлы (virtual appliances) работают ровно по той же самой схеме, вне зависимости от того, платные они или бесплатные, и от производителя, будь то CheckPoint, Vyatta или VMware (BlueLane). Добавлю. Все виртуальные модули-файрволлы (virtual appliances) работают ровно по той же самой схеме, вне зависимости от того, платные они или бесплатные, и от производителя, будь то CheckPoint, Vyatta или VMware (BlueLane).

]]> Автор: Anton Zhbankov http://itband.ru/2010/01/vshield-zones/comment-page-1/#comment-49805 Anton Zhbankov Fri, 15 Jan 2010 10:15:17 +0000 http://itband.ru/?p=4543#comment-49805 Дмитрий, ответ очевиден :) Если выйдет из строя ВМ, которая работает роутером, то внешняя сеть будет недоступна для всех ВМ, которые она защищает. Однако я уверен на 100% (в силу отсутствия официальных документов, иначе я бы просто знал), что организован мониторинг как демонов, занимающихся роутингом и файрволлингом, так и самой ВМ - экземпляра vShield со стороны vShield Manager. Напомню, что vShield Manager имеет доступ к vCenter и при необходимости может оповестить администратора и / или перезапустить конкретный экзмепляр vShield. Дмитрий, ответ очевиден :) Если выйдет из строя ВМ, которая работает роутером, то внешняя сеть будет недоступна для всех ВМ, которые она защищает.

Однако я уверен на 100% (в силу отсутствия официальных документов, иначе я бы просто знал), что организован мониторинг как демонов, занимающихся роутингом и файрволлингом, так и самой ВМ — экземпляра vShield со стороны vShield Manager. Напомню, что vShield Manager имеет доступ к vCenter и при необходимости может оповестить администратора и / или перезапустить конкретный экзмепляр vShield.

]]> Автор: Дмитрий Рудых http://itband.ru/2010/01/vshield-zones/comment-page-1/#comment-49804 Дмитрий Рудых Fri, 15 Jan 2010 10:08:18 +0000 http://itband.ru/?p=4543#comment-49804 Так и думал. :) А если рассматривать с точки зрения единой точки отказа, что будет если виртуальная машина vShield выйдет из строя и будет недоступна? Отразится ли это на работе других виртуальных машин, использующих этот файервол? Так и думал. :) А если рассматривать с точки зрения единой точки отказа, что будет если виртуальная машина vShield выйдет из строя и будет недоступна? Отразится ли это на работе других виртуальных машин, использующих этот файервол?

]]> Автор: Anton Zhbankov http://itband.ru/2010/01/vshield-zones/comment-page-1/#comment-49803 Anton Zhbankov Fri, 15 Jan 2010 09:58:43 +0000 http://itband.ru/?p=4543#comment-49803 vShield Zones разрешает/запрещает трафик на определенный порт, но ввиду того, что это отдельная машина и на защищаемых ВМ не устанавливается никаких агентов, то, разумеется, нельзя открыть/закрыть доступ на уровне приложений. vShield Zones разрешает/запрещает трафик на определенный порт, но ввиду того, что это отдельная машина и на защищаемых ВМ не устанавливается никаких агентов, то, разумеется, нельзя открыть/закрыть доступ на уровне приложений.

]]> Автор: Дмитрий Рудых http://itband.ru/2010/01/vshield-zones/comment-page-1/#comment-49802 Дмитрий Рудых Fri, 15 Jan 2010 09:52:44 +0000 http://itband.ru/?p=4543#comment-49802 Если сравнивать с файерволами в гостевых машинах, vShield поддерживает создание правил для конкретных приложений (например, разрешить определенной службе исходящий трафик на определенные порты)? Или например, если у виртуальной машины несколько IP адресов и нужны различные правила для каждого из них? Если сравнивать с файерволами в гостевых машинах, vShield поддерживает создание правил для конкретных приложений (например, разрешить определенной службе исходящий трафик на определенные порты)? Или например, если у виртуальной машины несколько IP адресов и нужны различные правила для каждого из них?

]]> Автор: Anton Zhbankov http://itband.ru/2010/01/vshield-zones/comment-page-1/#comment-49760 Anton Zhbankov Wed, 13 Jan 2010 17:10:37 +0000 http://itband.ru/?p=4543#comment-49760 Ровно тем же, чем аппаратные файрволлы лучше программных - независимостью от того, какая ОС установлена на сервере. Настройки файрволла применяются сразу ко всем экземплярам vShield, на уровне датацентра, кластера или к конкретному хосту. Да, несомненно можно найти программное решение, не уступающее vShield, или даже превосходящее, особенно если у нас заранее известная инфраструктура. Но сколько оно будет стоить вместе со всеми консолями централизованного управления и сводной статистики? vShield Zones не идеальное и даже не лучшее на рынке решение, это решение обеспечивает некоторый уровень защиты и некоторый уровень интеграции с vSphere. Но самое главное - оно идет в комплекте с лицензией на vSphere, начиная с редакции Advanced. Если вам этого уровня защиты достаточно, то "зачем платить больше"? У меня цели доказать, что vShield лучше, чем отдельные файрволлы, или что отдельные файрволлы вообще не нужны. Моя цель - рассказать о том, что такое решение есть и как оно работает, не более того. Выбор за вами, вы лучше знаете специфику своей инфраструктуры. Ровно тем же, чем аппаратные файрволлы лучше программных — независимостью от того, какая ОС установлена на сервере.

Настройки файрволла применяются сразу ко всем экземплярам vShield, на уровне датацентра, кластера или к конкретному хосту.

Да, несомненно можно найти программное решение, не уступающее vShield, или даже превосходящее, особенно если у нас заранее известная инфраструктура. Но сколько оно будет стоить вместе со всеми консолями централизованного управления и сводной статистики?

vShield Zones не идеальное и даже не лучшее на рынке решение, это решение обеспечивает некоторый уровень защиты и некоторый уровень интеграции с vSphere. Но самое главное — оно идет в комплекте с лицензией на vSphere, начиная с редакции Advanced. Если вам этого уровня защиты достаточно, то «зачем платить больше»?

У меня цели доказать, что vShield лучше, чем отдельные файрволлы, или что отдельные файрволлы вообще не нужны. Моя цель — рассказать о том, что такое решение есть и как оно работает, не более того. Выбор за вами, вы лучше знаете специфику своей инфраструктуры.

]]>