安全管理员使用防火墙保护网络或网络中的选定组件免遭侵袭。

防火墙可控制对其保护范围内的设备的访问,方法是关闭除管理员显式或隐式指定的授权端口之外的所有端口。管理员打开的端口允许防火墙内外设备间的流量。

重要:

ESXi 5.5 及更高版本中的 ESXi 防火墙不允许按网络筛选 vMotion 流量。因此,必须在外部防火墙上安装规则,才能确保 vMotion 套接字没有入站连接。

在虚拟机环境中,可以为组件之间的防火墙规划布局。

  • 物理机(例如,vCenter Server 系统)和 ESXi 主机之间的防火墙。

  • 一个虚拟机与另一个虚拟机之间的防火墙(例如,在作为外部 Web 服务器的虚拟机与连接到公司内部网络的虚拟机之间)。

  • 物理机与虚拟机之间的防火墙(例如,在物理网络适配器卡和虚拟机之间设立防火墙)。

防火墙在 ESXi 配置中的使用方式取决于您计划如何使用网络以及给定的组件所需的安全性。例如,如果在您创建的虚拟网络中的每个虚拟机专用于运行同一部门的不同基准测试套件,那么从一个虚拟机对另一个虚拟机进行不利访问的风险极小。因此,防火墙存在于虚拟机之间的配置不是必需的。但是,为了防止干扰外部主机的测试运行,可在虚拟网络的入口点配置防火墙来保护整组虚拟机。

有关防火墙端口图,请参见 VMware 知识库文章 2131180