请教一下各位高手，ESXI 5.x的主机如果需要接内外网的话，安全方面应该怎么做？

amd

如果有一台ESXI 5.x的主机上某个虚拟机需要内外网同时接，非虚拟化时的常规手段是否同样有效？
另外就是，如何保证ESXI主机本身的安全？譬如，两个网口分别接在内网和外网，但虚拟机本身无安全问题，或者说没有哪个虚拟机同时使用内网和外网的话，如何避免外网过来的风险，针对ESXI本身的或者其他内网虚拟机的？ 或者只针对外网的虚拟机会不会因为外网来的风险产生对内网的影响？
谢谢各位～

TiGi

这个就难说了，端口重定向、VPN或者直接放在公网，都可以。
如果主机又直接接公网，又接内网，可以将虚拟机分别放在不同的网络内，某个VM起个软路由/软防火墙即可。
另外，VMware有个产品可以实现VPN之类的网络应用的。

dyitdev

出于安全考虑，一定是一个ESXI 5.x主机接外网，一个ESXI 5.x主机接内网。双网分开

七月十五

新建一个vm装软路由

amd

就是担心主机本身直接接了内外网的话会出现状况，各位的意思是各vm都只接一个网络，然后通过一个接两个网络的vm做软路由接在一起？那软路由这个vm其实还是内外网都连了吧，同样主机本身也是内外网都连上了……
可不可以这样，管理端口只允许内网的访问，外网的网口不开通管理功能，这样一来是否安全一些？至少没有同时接内外网的vm的话，是否安全一些？

hj192837

建议用单独的网卡连接外网供VM(软路由vm)使用

amd

软路由需要内外网都上不？到时候其他vm怎么通过这个软路由呢？

hj192837

软路由内外网都要呀，用port group呀，外网的单独的vswitch和port group及uplink，内网的话参考内部的就行了

amd

看来还有很多东西要学啊……
port group还没学到……
意思说，分配一个port group，一个vswitch ，和uplink，这些专门给外网用，vm软路由同时配置内外网的这些资源，其他vm如果需要上外网，就配置跟外网一样的port group，vswitch和uplink，如果需要同时内外网就同时分配？
总之，新手混乱了   不好意思，见笑了。我先去弄明白一下esxi下port group和uplink都是什么

hj192837

本帖最后由 hj192837 于 9-18-2012 14:50 编辑
看下这图就清楚点了

amd

图片一直刷不出来

winxp2000

买一个硬件防火墙+路由的就可以了
介绍你考虑一下 新一代的 防火墙 SonicWall

amd

硬件防火墙要怎么接，因为有众多vm的话，跟物理机直接有什么区别吗？

天擎

不要把虚拟机当做特殊的东西，你就当他是一台主机好了，你要把应用发布到外网，原来要怎么做，现在就怎么做就可以了。

winxp2000

你把ESXI主机的网卡理解成交换机的上联口就可以了
别把简单的事情想复杂了