Hallo zusammen,
wir haben eine externe physikalische Firewall, die den Netzwerkverkehr der VMs überwachen soll.
Bekommt die Firewall überhaupt etwas von dem Netzwerkverkehr mit, wenn die VMs auf demselben Host und demselben vSwitch sind?
Wie verhält es sich, wenn es unterschiedliche VLANs auf demselben Host und demselben dvSwitch sind?
Bedankt & bis dahin...
der stahly
Die Foren-SW läuft ohne erkennbare Probleme. Sollte doch etwas nicht funktionieren, bitte gerne hier jederzeit melden und wir kümmern uns zeitnah darum. Danke!
Firewall / Netzwerkverkehr überwachen
Re: Firewall / Netzwerkverkehr überwachen
Das kommt doch auf die Konstuiktion der Netzwerke/VLANs und die genaue Position der Firewall innerhalb des Konstrukts an - das lässt sich nicht so einfach pauschal sagen.
Re: Firewall / Netzwerkverkehr überwachen
Das stimmt schon 
Der einfachste Fall wäre:
VM 1 (10.1.1.1) und VM2 (10.1.1.2) laufen auf demselben Host und demselben vSwitch und kommunizieren miteinander. Wenn meine VM-Kenntnisse mich nicht täuschen, bleibt der Netzwerkverkehr innerhalb des Hostes. Somit würde die externe Firewall nichts mitbekommen. Richtig?
Der einfachste Fall wäre:
VM 1 (10.1.1.1) und VM2 (10.1.1.2) laufen auf demselben Host und demselben vSwitch und kommunizieren miteinander. Wenn meine VM-Kenntnisse mich nicht täuschen, bleibt der Netzwerkverkehr innerhalb des Hostes. Somit würde die externe Firewall nichts mitbekommen. Richtig?
-
MarroniJohny
- Profi
- Beiträge: 609
- Registriert: 20.10.2011, 17:55
Re: Firewall / Netzwerkverkehr überwachen
Sonst wenn Du nicht sicher bist, kannst Du die beiden VMs beregeln und das loggen auf der Firewall.
-
irix
- King of the Hill
- Beiträge: 12944
- Registriert: 02.08.2008, 15:06
- Wohnort: Hannover/Wuerzburg
- Kontaktdaten:
Re: Firewall / Netzwerkverkehr überwachen
Das bezeichnet man als East<->West traffic und der Verlaesst den Host nicht ... Aber.... deine FW wuerde auch nichts bemerken von phys. Geraeten die im selben Subnet mit einander Reden. Die FW kann erst zuhoeren wenn der Client ueber Subnetgrenzen hinweg redet.
Die vSphere Distributed FW haette diese Probleme nicht da hier Microsegmentierung betrieben wird.
Gruss
Joerg
Die vSphere Distributed FW haette diese Probleme nicht da hier Microsegmentierung betrieben wird.
Gruss
Joerg
Re: Firewall / Netzwerkverkehr überwachen
irix hat geschrieben:...
Die vSphere Distributed FW haette diese Probleme nicht da hier Microsegmentierung betrieben wird.
...
Danke für die Antworten.
Das würde dann aber NSX bedeuten, oder?
-
irix
- King of the Hill
- Beiträge: 12944
- Registriert: 02.08.2008, 15:06
- Wohnort: Hannover/Wuerzburg
- Kontaktdaten:
Re: Firewall / Netzwerkverkehr überwachen
Ja.
Gruss
Joerg
Gruss
Joerg
Re: Firewall / Netzwerkverkehr überwachen
Die Alternative wäre, den vSwitch bzw. die Portgruppe auf "promiscous" zu schalten und eine virtuelle Firewall mithören zu lassen.
Re: Firewall / Netzwerkverkehr überwachen
~thc hat geschrieben:Die Alternative wäre, den vSwitch bzw. die Portgruppe auf "promiscous" zu schalten und eine virtuelle Firewall mithören zu lassen.
Für 2 VMs wäre das noch ok, aber wenn es mehrere Hosts mit ein paar hundert VMs sind... Ich glaube, das will man nicht wirklich
Auf jeden Fall hat sich mein Wissen bestätigt, dass es ohne relativ großen Aufwand nicht möglich ist, den Netzwerkverkehr der bestehenden Umgebung durch eine externe Firewall zu überwachen.
Wer ist online?
Mitglieder in diesem Forum: 0 Mitglieder und 10 Gäste