ESXi 包括默认启用的防火墙。
安装时,会配置 ESXi 防火墙以阻止除主机安全配置文件中启用的服务相关的流量之外的所有入站和出站流量。
打开防火墙端口时,应考虑不限制访问 ESXi 主机上运行的服务可能使主机遭受外部攻击及未经授权的访问。通过将 ESXi 防火墙配置为仅允许从授权网络访问来降低该风险。
注: 此防火墙还允许 Internet 控制消息协议 (ICMP) ping 及与 DHCP 和 DNS(仅 UDP)客户端的通信。
可以如下所示管理
ESXi 防火墙端口:
- 在 vSphere Web Client 中使用每个主机的安全配置文件。请参见管理 ESXi 防火墙设置
- 从命令行或在脚本中使用 ESXCLI 命令。请参见ESXi ESXCLI 防火墙命令。
- 如果安全配置文件中不包括要打开的端口,则使用自定义 VIB。
可以使用 VMware Lab 提供的 vibauthor 工具创建自定义 VIB。要安装自定义 VIB,必须将 ESXi 主机的接受程度改为 CommunitySupported。请参见 VMware 知识库文章 2007381。
注: 如果请求 VMware 技术支持调查安装了 CommunitySupported VIB 的 ESXi 主机上的问题,VMware 支持可能会在故障排除过程中请求卸载此 CommunitySupported VIB 作为故障排除步骤,以确定该 VIB 是否与调查的问题相关。
NFS 客户端规则集 (nfsClient) 的行为与其他规则集不同。启用 NFS 客户端规则集后,将在允许的 IP 地址列表中打开目标主机的所有出站 TCP 端口。有关详细信息,请参见NFS 客户端防火墙行为。