ESXi 包括默认启用的防火墙。
安装时,会配置 ESXi 防火墙以阻止除主机安全配置文件中启用的服务相关的流量之外的所有入站和出站流量。
打开防火墙端口时,应考虑不限制访问 ESXi 主机上运行的服务可能使主机遭受外部攻击及未经授权的访问。通过将 ESXi 防火墙配置为仅从授权网络启用访问来降低该风险。
注: 此防火墙还允许 Internet 控制消息协议 (ICMP) ping 及与 DHCP 和 DNS(仅 UDP)客户端的通信。
可以如下所示管理 ESXi 防火墙端口:
- 在 vSphere Client 中,对每台主机使用 。请参见管理 ESXi 防火墙设置。
- 从命令行或在脚本中使用 ESXCLI 命令。请参见ESXi ESXCLI 防火墙命令。
- 如果安全配置文件中不包括要打开的端口,则使用自定义 VIB。
可以使用 VMware Lab 提供的 VIB Author 工具创建自定义 VIB。要安装自定义 VIB,必须将 ESXi 主机的接受程度改为 CommunitySupported。
注: 如果您联系 VMware 技术支持来调查装有社区支持的 VIB 的 ESXi 主机上的问题,VMware 技术支持可能会要求您卸载该 VIB。此类请求是一个故障排除步骤,用于确定该 VIB 是否与调查的问题有关。
NFS 客户端规则集 (nfsClient) 的行为与其他规则集不同。启用 NFS 客户端规则集后,将在允许的 IP 地址列表中打开目标主机的所有出站 TCP 端口。有关详细信息,请参见NFS 客户端防火墙行为。