1. Manuals
  2. Brands
  3. VMware Manuals
  4. Software
  5. VSHIELD APP 1.0 -
  6. Quick start manual

VMware VSHIELD APP 1.0 Quick Start Manual

Hide thumbs Also See for VSHIELD APP 1.0:
Table of Contents

Advertisement

Quick Links

Download this manual See also: Admin Manual
vShield Quick Start Guide
vShield Manager 4.1
vShield Edge 1.0
vShield App 1.0
vShield Endpoint 1.0
This document supports the version of each product listed and
supports all subsequent versions until the document is replaced
by a new edition. To check for more recent editions of this
document, see http://www.vmware.com/support/pubs.
EN-000375-00

Advertisement

Table of Contents
loading
Need help?

Need help?

Do you have a question about the VSHIELD APP 1.0 and is the answer not in the manual?

Questions and answers

Related Manuals for VMware VSHIELD APP 1.0

Summary of Contents for VMware VSHIELD APP 1.0

  • Page 1 App 1.0 vShield Endpoint 1.0 This document supports the version of each product listed and supports all subsequent versions until the document is replaced by a new edition. To check for more recent editions of this document, see http://www.vmware.com/support/pubs. EN-000375-00...
  • Page 2 VMware products are covered by one or more patents listed at http://www.vmware.com/go/patents. VMware is a registered trademark or trademark of VMware, Inc. in the United States and/or other jurisdictions. All other marks and names mentioned herein may be trademarks of their respective companies.

  • Page 3: Table Of Contents

    How Are My Virtual Machines Grouped? 14 Are My Virtual Machines Still Protected if I vMotion Them to Another ESX Host? 14 How Do I Isolate a Group of Virtual Machines? 15 vShield Manager Uptime 15 Communication Between vShield Components 15 Hardening Your vShield Virtual Machines 15 vShield Manager User Interface 15 Command Line Interface 15 REST Requests 16 Installing the vShield Manager and vShield Zones 17 Obtain the vShield Manager OVA File 17 Install the vShield Manager Virtual Appliance 17 Configure the Network Settings of the vShield Manager 18 Log In to the vShield Manager User Interface 19 Synchronize the vShield Manager with the vCenter Server 19 Register the vShield Manager Plug‐In with the vSphere Client 20 Change the Password of the vShield Manager User Interface Default Account 20 Install vShield Zones 20 Where to Go Next 21 VMware, Inc.
  • Page 4 Quick Start Guide Installing vShield Edge, vShield App, and vShield Endpoint 23 Running vShield in Evaluation Mode 23 Preparing Your Virtual Infrastructure for vShield App, vShield Edge, and vShield Endpoint 23 Install vShield Component Licenses 24 Prepare All ESX Hosts 24 Prepare a vNetwork for Port Group Isolation 25 Install a vShield Edge 25 Installing vShield Endpoint 27 vShield Endpoint Installation Workflow 27 Install the Thin Agent on the Guest Virtual Machine 27 Prerequisites 27 Where to Go Next 28 Index 29 VMware, Inc.

  • Page 5: About This Book

    About This Book ®  The vShield Quick Start Guide provides information about installing VMware vShield™ into your VMware  Virtual Infrastructure environment. Intended Audience This book is intended for anyone who wants to install or use VMware vShield. The information in this book is  written for experienced Windows or Linux system administrators who are familiar with virtual machine  technology and datacenter operations. This book also assumes familiarity with VMware Virtual  Infrastructure, including vCenter™ Server 4.x, VMware ESX™ 4.x, and the vSphere Client. VMware Technical Publications Glossary VMware Technical Publications provides a glossary of terms that might be unfamiliar to you. For definitions  of terms as they are used in VMware technical documentation go to http://www.vmware.com/support/pubs. Document Feedback VMware welcomes your suggestions for improving our documentation. If you have comments, send your  feedback to docfeedback@vmware.com. VMware Infrastructure Documentation The following documents comprise the VMware vShield documentation set:  vShield Administration Guide  vShield Quick Start Guide  vShield API Programming Guide You should also have access to the combined vCenter Server and ESX documentation set.  Technical Support and Education Resources The following sections describe the technical support resources available to you. To access the current version ...
  • Page 6 Quick Start Guide Support Offerings To find out how VMware support offerings can help meet your business needs, go to  http://www.vmware.com/support/services. VMware Professional Services VMware Education Services courses offer extensive hands‐on labs, case study examples, and course materials  designed to be used as on‐the‐job reference tools. Courses are available onsite, in the classroom, and live  online. For onsite pilot programs and implementation best practices, VMware Consulting Services provides  offerings to help you assess, plan, build, and manage your virtual environment. To access information about  education classes, certification programs, and consulting services, go to http://www.vmware.com/services.  VMware, Inc.

  • Page 7: Introduction To Vshield

    “vShield Components at a Glance” on page 7  “Deployment Scenarios” on page 10 vShield Components at a Glance VMware vShield is a suite of security virtual appliances built for VMware vCenter™ Server integration.  vShield is a critical security component for protecting virtualized datacenters from attacks and misuse helping  you achieve your compliance‐mandated goals. vShield includes virtual appliances and services essential for protecting virtual machines. vShield can be  configured through a web‐based user interface, a vSphere Client plug‐in, a command line interface (CLI), and  REST API. vCenter Server includes vShield Manager and vShield Zones. The following vShield packages each require a  license:  vShield Edge with Port Group Isolation  vShield App  vShield Endpoint One vShield Manager manages multiple vShield Zones, vShield Edge, vShield App, and vShield Endpoint  instances. vShield Manager The vShield Manager is the centralized network management component of vShield, and is installed as a  virtual appliance on any ESX™ host in your vCenter Server environment. A vShield Manager can run on a  different ESX host from your vShield agents. Using the vShield Manager user interface or vSphere Client plug‐in, administrators install, configure, and  maintain vShield components. The vShield Manager user interface leverages the VMware Infrastructure SDK  to display a copy of the vSphere Client inventory panel, and includes the Hosts & Clusters and Networks  views. vShield Zones vShield Zones provides firewall protection for traffic between virtual machines. For each Zones Firewall rule,  you can specify the source IP, destination IP, source port, destination port, and service. VMware, Inc.

  • Page 8: Vshield Edge

    Standard vShield Edge Services (Including Cloud Director)  Firewall: Supported rules include IP 5‐tuple configuration with IP and port ranges for stateful inspection  for TCP, UDP, and ICMP.  Network Address Translation: Separate controls for Source and Destination IP addresses, as well as TCP  and UDP port translation.  Dynamic Host Configuration Protocol (DHCP): Configuration of IP pools, gateways, DNS servers, and  search domains. Advanced vShield Edge Services  Site‐to‐Site Virtual Private Network (VPN): Uses standardized IPsec protocol settings to interoperate with  all major firewall vendors.  Load Balancing: Simple and dynamically configurable virtual IP addresses and server groups. vShield Edge supports syslog export for all services to remote servers.  Figure 1-1. vShield Edge Installed to Secure a vDS Port Group VMware, Inc.

  • Page 9: Vshield App

    Chapter 1 Introduction to vShield vShield App vShield App is an interior, vNIC‐level firewall that allows you to create access control policies regardless of  network topology. A vShield App monitors all traffic in and out of an ESX host, including between virtual  machines in the same port group. vShield App includes traffic analysis and container‐based policy creation. vShield App installs as a hypervisor module and firewall service virtual appliance. vShield App integrates  with ESX hosts through VMsafe APIs and works with VMware vSphere platform features such as DRS,  vMotion, DPM, and maintenance mode. vShield App provides firewalling between virtual machines by placing a firewall filter on every virtual  network adapter. The firewall filter operates transparently and does not require network changes or  modification of IP addresses to create security zones. You can write access rules by using vCenter containers,  like datacenters, cluster, resource pools and vApps, or network objects, like Port Groups and VLANs, to  reduce the number of firewall rules and make the rules easier to track. You should install vShield App instances on all ESX hosts within a cluster so that VMware vMotion™  operations work and virtual machines remain protected as they migrate between ESX hosts. By default, a  vShield App virtual appliance cannot be moved by using vMotion. The Flow Monitoring feature displays allowed and blocked network flows at the application protocol level.  You can use this information to audit network traffic and troubleshoot operational. vShield Endpoint vShield Endpoint delivers an introspection‐based antivirus solution. vShield Endpoint uses the hypervisor to  scan guest virtual machines from the outside without a bulky agent. vShield Endpoint is efficient in avoiding  resource bottlenecks while optimizing memory use. vShield Endpoint installs as a hypervisor module and security virtual appliance from a third‐party antivirus  vendor (VMware partners) on an ESX host. Figure 1-2. vShield Endpoint Installed on an ESX Host VMware, Inc.

  • Page 10: Deployment Scenarios

    Quick Start Guide Deployment Scenarios Using vShield, you can build secure zones for a variety of virtual machine deployments. You can isolate virtual  machines based on specific applications, network segmentation, or custom compliance factors. Once you  determine your zoning policies, you can deploy vShield to enforce access rules to each of these zones. Protecting the DMZ The DMZ is a mixed trust zone. Clients enter from the Internet for Web and email services, while services  within the DMZ might require access to services inside the internal network. You can place DMZ virtual  machines in a port group and secure that port group with a vShield Edge. vShield Edge provides access  services such as firewall, NAT, and VPN, as well as load balancing to secure DMZ services. A common example of a DMZ service requiring an internal service is Microsoft Exchange. Microsoft Outlook  Web Access (OWA) commonly resides in the DMZ cluster, while the Microsoft Exchange back end is in the  internal cluster. On the internal cluster, you can create firewall rules to allow only Exchanged‐related requests  from the DMZ, identifying specific source‐to‐destination parameters. From the DMZ cluster, you can create  rules to allow outside access to the DMZ only to specific destinations using HTTP, FTP, or SMTP. Isolating and Protecting Internal Networks You can use a vShield Edge with the Port Group Isolation feature to isolate an internal network from the  external network. A vShield Edge provides perimeter firewall protection and edge services to secure virtual  machines in a port group, enabling communication to the external network through DHCP, NAT, and VPN. Within the secured port group, you can install a vShield App instance on each ESX host that the vDS spans to  secure communication between virtual machines in the internal network. If you utilize VLAN tags to segment traffic, you can use App Firewall to create smarter access policies. Using  App Firewall instead of a physical firewall allows you to collapse or mix trust zones in shared ESX clusters. By  doing so, you gain optimal utilization and consolidation from features such as DRS and HA, instead of having  separate, fragmented clusters. Management of the overall ESX deployment as a single pool is less complex  than having separately managed pools. For example, you use VLANs to segment virtual machine zones based on logical, organizational, or network  boundaries. Leveraging the Virtual Infrastructure SDK, the vShield Manager inventory panel displays a view  of your VLAN networks under the Networks view. You can build access rules for each VLAN network to  isolate virtual machines and drop untagged traffic to these machines. VMware, Inc.

  • Page 11: Protecting Virtual Machines In A Cluster

    Figure 1-3. vShield App Instances Installed on Each ESX Host in a Cluster Unprotected Cluster Protected Cluster Common Deployments of vShield Edge You can use a vShield Edge with the Port Group Isolation feature to isolate a stub network, using NAT to allow  traffic in and out of the network. If you deploy internal stub networks, you can use vShield Edge to secure  communication between networks by using LAN‐to‐LAN encryption via VPN tunnels. vShield Edge can be deployed as a self‐service application within VMware Cloud Director. Common Deployments of vShield App You can use vShield App to create security zones within a vDC. You can impose firewall policies on vCenter  containers or Security Groups, which are custom containers you can create by using the vShield Manager user  interface. Container‐based policies enable you to create mixed trust zones clusters without requiring an  external physical firewall. In a deployment that does not use vDCs, use a vShield App with the Security Groups feature to create trust  zones and enforce access policies. Service Provider Admins can use vShield App to impose broad firewall policies across all guest virtual  machines in an internal network. For example, you can impose a firewall policy on the second vNIC of all guest  virtual machines that allows the virtual machines to connect to a storage server, but blocks the virtual  machines from addressing any other virtual machines. VMware, Inc.
  • Page 12 Quick Start Guide VMware, Inc.

  • Page 13: Preparing For Installation

    Table 2-1. Hardware Requirements Component Minimum Memory 8 GB  Disk Space 8 GB for the vShield Manager  5 GB per vShield App per ESX host  100 MB per vShield Edge NICs 2 gigabit NICs on an ESX host Software  VMware vCenter Server 4.0 Update 1 or later    vShield Endpoint requires vCenter Server 4.1 or later. Table 2‐2 lists the vCenter versions that are compatible with this version of vShield. Table 2-2. Supported vCenter Versions vCenter Release Build Number 4.0 Update 1 264050 4.1 GA 208111 4.1 GA vSphere Client 208111 VMware, Inc.

  • Page 14: Client And User Access

    Deployment Considerations Consider the following recommendations and restrictions before you deploy vShield components. Preparing Virtual Machines for vShield Protection You must determine how to protect your virtual machines with vShield. Consider the following questions: How Are My Virtual Machines Grouped? You might consider moving virtual machines to port groups on a vDS or a different ESX host to group virtual  machines by function, department, or other organizational need to improve security and ease configuration of  access rules. You can install vShield Edge at the perimeter of any port group to isolate virtual machines from  the external network. You can install a vShield App on an ESX host and configure firewall policies per  container resource to enforce rules based on the hierarchy of resources. Are My Virtual Machines Still Protected if I vMotion Them to Another ESX Host? Yes, if you install a vShield App on each ESX host in a cluster, you can migrate machines between hosts without  weakening the security posture. vShield App instances cannot be migrated to other hosts, thus each instance  maintains state for existing sessions. VMware, Inc.

  • Page 15: How Do I Isolate A Group Of Virtual Machines

    Manager virtual appliance to another ESX host. Thus, more than one ESX host is recommended. Communication Between vShield Components The management interfaces of vShield components should be placed in a common network, such as the  vSphere management network. The vShield Manager requires connectivity to the vCenter Server, as well as  all vShield App and vShield Edge instances. vShield components can communicate over routed connections  as well as different LANs.    The vShield Manager must be in the same vCenter Server environment as the vShield components to  be managed. You cannot use the vShield Manager across different vCenter Server environments. Hardening Your vShield Virtual Machines You can access the vShield Manager and other vShield components by using a web‐based user interface,  command line interface, and REST API. vShield includes default login credentials for each of these access  options. After installation of each vShield virtual machine, you should harden access by changing the default  login credentials. vShield Manager User Interface You access the vShield Manager user interface by opening a web browser window and navigating to the IP  address of the vShield Manager’s management port. The default user account, admin, has global access to the  vShield Manager. After initial login, you should change the default password of the admin user account. See  “Change the Password of the vShield Manager User Interface Default Account” on page 20. Command Line Interface You can access the vShield Manager, vShield App, and vShield Edge virtual appliances by using a command  line interface via vSphere Client console session. Each virtual appliance uses the same default username  (admin) and password (default) combination as the vShield Manager user interface. Entering Enabled mode  also uses the password default. For more on hardening the CLI, see the vShield Administration Guide. VMware, Inc.

  • Page 16: Rest Requests

    Quick Start Guide REST Requests All REST API requests require authentication with the vShield Manager. Using Base 64 encoding, you identify  a username‐password combination in the following format: username:password. You must use a vShield  Manager user interface account (username and password) with privileged access to perform requests. For  more on authenticating REST API requests, see the vShield API Programming Guide VMware, Inc.

  • Page 17: Installing The Vshield Manager And Vshield Zones

    “Configure the Network Settings of the vShield Manager” on page 18  “Log In to the vShield Manager User Interface” on page 19  “Synchronize the vShield Manager with the vCenter Server” on page 19  “Register the vShield Manager Plug‐In with the vSphere Client” on page 20  “Change the Password of the vShield Manager User Interface Default Account” on page 20  “Install vShield Zones” on page 20  “Where to Go Next” on page 21 Obtain the vShield Manager OVA File The vShield Manager virtual machine is packaged as an Open Virtualization Appliance (OVA) file, which  allows you to use the vSphere Client to import the vShield Manager into the datastore and virtual machine  inventory.  Install the vShield Manager Virtual Appliance You can install the vShield Manager virtual machine on an ESX host in a cluster configured with DRS. The  target ESX host must be managed by the same vCenter instance as the ESX hosts on which you want to deploy  vShield Zones or vShield App instances. A single vShield Manager serves a single vCenter Server  environment. VMware, Inc.

  • Page 18: Configure The Network Settings Of The Vshield Manager

    Web browser for system management. manager# setup Use CTRL-D to abort configuration dialog at any prompt. Default settings are in square brackets '[]'. IP Address (A.B.C.D): Subnet Mask (A.B.C.D): Default gateway (A.B.C.D): Primary DNS IP (A.B.C.D): Secondary DNS IP (A.B.C.D): VMware, Inc.

  • Page 19: Log In To The Vshield Manager User Interface

    Accept the security certificate.    You can use an SSL certificate for authentication. Refer to the vShield Administration Guide. The vShield Manager login screen appears. Log in to the vShield Manager user interface by using the user name admin and the password default. You should change the default password as one of your first tasks to prevent unauthorized use. See  “Change the Password of the vShield Manager User Interface Default Account” on page 20. Click Log In. Synchronize the vShield Manager with the vCenter Server Synchronize with your vCenter Server to display your VMware Infrastructure inventory in the vShield  Manager user interface. You must have a vCenter Server user account with administrative access to complete this task.    The vShield Manager virtual machine does not appear as a resource in the inventory panel of the  vShield Manager user interface. The Settings & Reports object represents the vShield Manager virtual  machine in the inventory panel. To synchronize the vShield Manager with vCenter Server Log in to the vShield Manager.  Click Settings & Reports from the vShield Manager inventory panel. Click the Configuration tab. Click the vCenter tab. Type the IP address or hostname of your vCenter Server in the IP address/Name field. Type your vSphere Client login user name in the User Name field. Type the password associated with the user name in the Password field. Click Save. VMware, Inc.

  • Page 20: Register The Vshield Manager Plug-In With The Vsphere Client

    Change the Password of the vShield Manager User Interface Default Account You can change the password of the admin account to harden access to your vShield Manager. To change the admin account password Log in to the vShield Manager user interface. Click Settings & Reports from the vShield Manager inventory panel. Click the Users tab. Select the admin account. Click Update User. Enter a new password.  Confirm the password by typing it a second time in the Retype Password field. Click OK to save your changes. Install vShield Zones The following information is required for vShield Zones installation on an ESX host:  One IP address for the management (MGMT) port of each vShield Zones virtual appliance. Each IP  address should be reachable from the vShield Manager and sit on the Management network used for  vCenter and ESX host management interfaces.  Local or network storage to place the vShield Zones disk. vShield Zones virtual appliances include VMware Tools. Do not attempt to alter or upgrade the VMware Tools  software on a vShield Zones virtual appliance. Log in to the vSphere Client. Select an ESX host from the inventory tree. Click the vShield tab. Accept the security certificate. Click Install for the vShield Zones service. VMware, Inc.

  • Page 21: Where To Go Next

    Field Action Datastore Select the datastore on which to store the vShield Zones virtual machine  files. Management Port Group Select the port group to host the vShield Zone’s management interface. This  port group must be able to reach the vShield Manager’s port group. IP Address Type the IP address to assign to the vShield Zone’s management interface. Netmask Type the IP subnet mask associated with the assigned IP address. Default Gateway Type the IP address of the default network gateway. Click Install at the top of the form. You can follow the vShield Zones installation steps from the Recent Tasks pane of the vSphere Client  screen. After installation of all components is complete, go to the vShield Zones > Zones Firewall tab at the  datacenter, cluster, or port group container level to configure firewall rules. Each vShield Zones instance  inherits global firewall rules set in the vShield Manager. The default firewall rule set allows all traffic to  pass. You must configure blocking rules to explicitly deny traffic. To configure Zones Firewall rules, see  the vShield Administration Guide.    You can upgrade vShield Zones to vShield App by obtaining a vShield App license. vShield App  enhances vShield Zones protection by offering Flow Monitoring, custom container creation (Security Groups),  and container‐based access policy creation and enforcement.  You do not have to uninstall vShield Zones to install vShield App. All vShield Zones instances become vShield  App instances, the Zones Firewall becomes App Firewall, and the additional vShield App features are enabled. Where to Go Next After vShield Manager installation is complete, you can configure vShield Zones firewall settings and analyze  traffic. For more, see the vShield Administration Guide. To enhance your network security posture, you can obtain licenses for vShield App, vShield Endpoint, and  vShield Edge. For more, see Chapter 4, “Installing vShield Edge, vShield App, and vShield Endpoint,” on  page 23. VMware, Inc.
  • Page 22 Quick Start Guide VMware, Inc.

  • Page 23: Installing Vshield Edge, Vshield App, And Vshield Endpoint

    Running vShield in Evaluation Mode Before purchasing and activating licenses for vShield Edge, vShield App, an vShield Endpoint, you can install  and run evaluation modes of the software. When run in evaluation mode, intended for demonstration and  evaluation purposes, your vShield Edge, vShield App, and vShield Endpoint are completely operational  immediately after installation, do not require any licensing configuration, and provide full functionality for 60  days from the time you first activate them. When run in evaluation mode, vShield components can support a maximum allowed number of instances. After the 60‐day trial period expires, unless you obtain licenses for your software, you cannot use vShield. For  example, you cannot power on vShield App or vShield Edge virtual appliances or protect your virtual  machines. To continue using the vShield App and vShield Edge functionality without interruptions or to restore the  features that become unavailable after the 60‐day trial, you need to obtain and install license files that activate  the features appropriate for the vShield component you purchased. Preparing Your Virtual Infrastructure for vShield App, vShield Edge, and vShield Endpoint Prior to installation, the add‐on components require preparation of your ESX host and vNetwork  environments. You install vShield App, vShield Endpoint, and the Port Group Isolation feature on ESX hosts.  ® You install vShield Edge on a port group, vNetwork Distributed Switch (vDS) port group, or a Cisco  Nexus  1000V. If you intend to use the Port Group Isolation feature, you should install Port Group Isolation on all ESX hosts  in your vCenter environment before you install any vShield Edge virtual machines. If you do not install Port  Group Isolation and attempt to enable the feature during vShield Edge installation, Port Group Isolation does  not work. See “Prepare All ESX Hosts” on page 24. VMware, Inc.

  • Page 24: Install Vshield Component Licenses

    ESX host management interfaces.  Local or network storage to place the vShield App and Port Group Isolation disks. vShield virtual appliances include VMware Tools. Do not attempt to alter or upgrade the VMware Tools  software on a vShield virtual appliance. To prepare an ESX host for vShield add-on functionality Log in to the vSphere Client. Select an ESX host from the inventory tree. Click the vShield tab. Accept the security certificate. Click Install for the vShield App service. You will be able to install all three services on the next screen. Under vShield App, enter the following information. Field Action Datastore Select the datastore on which to store the vShield App virtual machine files. Management Port Group Select the port group to host the vShield App’s management interface. This  port group must be able to reach the vShield Manager’s port group. IP Address Type the IP address to assign to the vShield App’s management interface. Netmask Type the IP subnet mask associated with the assigned IP address. Default Gateway Type the IP address of the default network gateway. Select the vShield Edge Port Group Isolation Host Preparation check box. Select the Datastore on which to store the Port Group Isolation service files. Select the vShield Endpoint check box. VMware, Inc.

  • Page 25: Prepare A Vnetwork For Port Group Isolation

       Port Group Isolation is an optional feature that is not required for vShield Edge operation. Port Group  Isolation is available for vDS‐based vShield Edge installations only. To use Port Group Isolation, you must enable this feature on each vDS on which you will install a vShield Edge. Enable Port Group Isolation on each vDS. Install a vShield Edge on each vDS port group you plan to secure. Move the virtual machines to secured vDS port groups. After Port Group Isolation is installed on each ESX host, you must enable Port Group Isolation on each vDS  where you will install a vShield Edge. This allows the Port Group Isolation service to be used on any port  group in a vDS. To enable Port Group Isolation on a vDS Log in to the vSphere Client. Go to View > Inventory > Networking. Right‐click a vDS. Select vShield > Enable Isolation. A browser window opens to confirm that Port Group Isolation has been enabled. After Port Group Isolation installation is complete, install a vShield Edge instance on each vDS port group. Install a vShield Edge Each vShield Edge virtual appliance has External and Internal network interfaces. The Internal interface  connects to the secured port group and acts as the gateway for all protected virtual machines in the port group.  The subnet assigned to the Internal interface can be RFC 1918 private space. The External interface of the  vShield Edge connects to an uplink port group that has access to a shared corporate network or a service that  provides access layer networking. Each vShield Edge requires at least one IP address to number the External interface. Multiple external IP  addresses can be configured for Load Balancer, Site‐to‐Site VPN, and NAT services. The Internal interface can  have a private IP address block that overlaps with other vShield Edge secured port groups. VMware, Inc.
  • Page 26 Select the new Internal port group. Click the Edge tab. Under Network Interfaces, enter the following information. Field Action External Port Group Select the external port group in the vDS. This port group homes a physical  NIC and connects to the external network. IP Address Type the IP address of the external port group. Subnet Mask Type the IP subnet mask associated with the specified external IP address. Default Gateway Type the IP address of the default network gateway. Internal Port Group This is the selected internal port group. IP Address Type the IP address of the internal port group. Subnet Mask Type the IP subnet mask associated with the specified internal IP address. (Optional) Select the Isolate check box to enable Port Group Isolation on the vShield Edge.  This prevents virtual machines on the Internal port group from communicating with systems outside of  that port group. Under Edge deployment resource selection, enter the following information Field Action Resource Pool Select the resource pool where the vShield Edge should be deployed. Host Select the ESX host on which the datastore resides. Datastore Select the datastore on which to store the vShield Edge virtual machine files. 10 Click Install. After installation is complete, configure services and firewall rules to protect the virtual machines in the  secured port group. To configure a vShield Edge, see the vShield Administration Guide. VMware, Inc.

  • Page 27: Installing Vshield Endpoint

    Install the Thin Agent on the Guest Virtual Machine The thin agent must be installed on each guest virtual machine to be protected. Virtual machines with the thin  agent installed are automatically protected whenever they are started up on an ESX host that has the security  solution installed. That is, protected virtual machines retain the security protection through shut downs and  restarts, and even after a vMotion move to another ESX host with the security solution installed.  Prerequisites  Make sure that the guest virtual machine has a supported version of Windows installed. Supported  versions of the Windows operating system for vShield Endpoint 1.0 are:  Windows Vista (32 bit)  Windows 7 (32 bit)  Windows XP (32 bit)  Windows 2003 (32/64 bit)  Windows 2008 (32/64 bit)  Make sure that the thin agent and the virtual machine are both either 32 or 64 bit versions. You cannot mix  the two versions.  Make sure the guest virtual machine has a SCSI controller installed.    When you create a new virtual machine, the default configuration does not include a SCSI  MPORTANT controller. You must specifically add a SCSI controller to the virtual machine. To find instructions on how  to add SCSI controllers to a virtual machine, see the vSphere Client help: vSphere Client Help >  Managing Virtual Machine Hardware and Devices > Adding Virtual Devices > Add SCSI Controllers    BusLogic SCSI controllers are not supported. AUTION VMware, Inc.

  • Page 28: Where To Go Next

    Quick Start Guide To install the Thin Agent The installation package is located at the same VMware customer site where you downloaded vShield  Manager.  The package name has the following form:   32‐bit VMware-vShield-Endpoint-Driver-1.0.0-<build number>.x86-32.msi  64‐bit VMware-vShield-Endpoint-Driver-1.0.0-< build number >.x86-64.msi. This is a standard Microsoft installer package. Download and execute the installation package on the target host. The thin agent must be installed on every guest virtual machine to be protected. Reboot the guest virtual machine to complete the installation. If you run a silent install using msiexec, the reboot will happen automatically.  Where to Go Next After installation is complete, see the vShield Administration Guide for configuration, monitoring, and  maintenance. VMware, Inc.

  • Page 29: Index

    ESX host 24 vShield App 24 vShield App 9 vShield Edge 25, 27 vShield Edge 8 vShield Endpoint 24 vShield Endpoint 9 vShield Endpoint thin agent 27 vShield Manager 7 vShield Manager 17 vShield Zones 7 VMware, Inc.
  • Page 30 GUI password 20 installation 17 logging in to GUI 19 network settings 18 registering plug-in 20 syncing with vCenter 19 uptime 15 vShield Manager GUI 15 vShield Zones about 7 vShield Manager 7 vSphere Client plug-in 20 VMware, Inc.

This manual is also suitable for:

Vshield manager 4.1Vshield edge 1.0Vshield endpoint 1.0

Table of Contents