在 VMware Host Client 中配置 ESXi 防火墙

ESXi 包括默认启用的防火墙。安装期间会配置 ESXi 防火墙，以阻止除主机安全配置文件中启用的服务相关的流量之外的所有入站和出站流量。

打开防火墙端口时，应考虑到以下这种情况：不限制访问 ESXi 主机上运行的服务可能使主机遭受外部攻击及未经授权的访问。通过将 ESXi 防火墙配置为仅允许从授权网络访问来降低该风险。

注：此防火墙还允许 Internet 控制消息协议 (ICMP) ping 以及与 DHCP 和 DNS（仅 UDP）客户端的通信。

使用 VMware Host Client 管理 ESXi 防火墙设置

使用 VMware Host Client 登录到 ESXi 主机时，您可以为服务或管理代理配置入站和出站防火墙连接。

注：如果不同的服务具有重叠的端口规则，则启用一项服务可能会隐式启用其他服务。为了避免此问题，可以指定允许哪些 IP 地址访问主机上的各个服务。

在 VMware Host Client 清单中单击网络。
单击防火墙规则。
VMware Host Client 将显示相应防火墙端口的活动入站和出站连接列表。
对于某些服务，您可以管理服务详细信息。右键单击服务，然后从弹出菜单中选择一个选项。
- 使用启动、停止或重新启动按钮可临时更改服务的状态。
- 更改“启动策略”将服务配置为随主机、防火墙端口启动和停止，或手动启动和停止。

默认情况下，可以通过每个服务的防火墙访问所有 IP 地址。要限制流量，请配置每个服务，以便仅允许来自管理子网的流量。如果您的环境不使用某些服务，也可以取消选择这些服务。

在 VMware Host Client 清单中单击网络，然后单击防火墙规则。
在列表中单击某个服务，然后单击编辑设置。
在“允许的 IP 地址”部分中，单击仅允许从以下网络连接，然后输入要连接到主机的网络的 IP 地址。
使用逗号分隔 IP 地址。可以使用以下地址格式：
- 192.168.0.0/24
- 192.168.1.2, 2001::1/64
- fd3e:29a6:0a81:e478::/64
单击确定。