ESXi 包括默认启用的防火墙。
安装时,会配置 ESXi 防火墙阻止入站和出站流量,但在主机安全配置文件中启用的服务的流量除外。
打开防火墙端口时,应考虑不限制访问 ESXi 主机上运行的服务可能使主机遭受外部攻击及未经授权的访问。通过将 ESXi 防火墙配置为仅从授权网络启用访问来降低该风险。
注: 此防火墙还允许 Internet 控制消息协议 (ICMP) ping 及与 DHCP 和 DNS(仅 UDP)客户端的通信。
可以如下所示管理 ESXi 防火墙端口:
- 在 vSphere Client 中,对每台主机使用 。请参见管理 ESXi 防火墙设置。
- 从命令行或在脚本中使用 ESXCLI 命令。请参见ESXi ESXCLI 防火墙命令。
- 如果安全配置文件中不包括要打开的端口,则使用自定义 VIB。
要安装自定义 VIB,必须将 ESXi 主机的接受程度改为 CommunitySupported。
注: 如果您联系 VMware 技术支持来调查装有社区支持的 VIB 的 ESXi 主机上的问题,VMware 技术支持可能会要求您卸载该 VIB。此类请求是一个故障排除步骤,用于确定该 VIB 是否与调查的问题有关。
NFS 客户端规则集 (nfsClient) 的行为与其他规则集不同。启用 NFS 客户端规则集后,将在允许的 IP 地址列表中打开目标主机的所有出站 TCP 端口。有关详细信息,请参见NFS 客户端防火墙行为。