如果要通过 vCenter Server 访问 ESXi 主机，则通常会使用防火墙保护 vCenter Server。

入口点上必须设置防火墙。防火墙可以位于客户端与 vCenter Server 之间，vCenter Server 与客户端都可以受到防火墙保护。

有关 VMware 产品（包括 vSphere 和 vSAN）中所有受支持的端口和协议的列表，请参见 https://ports.vmware.com/ 中的 VMware Ports and Protocols Tool™。您可以按 VMware 产品搜索端口，创建自定义端口列表，以及打印或保存端口列表。

配置了 vCenter Server 的网络可以通过 vSphere Client、其他 UI 客户端或使用 vSphere API 的客户端接收通信。在正常操作期间，vCenter Server 会在指定的端口上侦听其受管主机和客户端的数据。vCenter Server 还假设其受管主机会在指定的端口上侦听 vCenter Server 的数据。如果任何这些元素之间有防火墙，必须确保防火墙中有打开的端口以支持数据传输。

您还可以在网络中的其他接入点上包括防火墙，具体取决于网络使用情况和客户端要求的安全级别。根据您的网络配置对应的安全风险选择防火墙位置。下面是常用的防火墙位置。

• vSphere Client 或第三方网络管理客户端与 vCenter Server 之间。
• Web 浏览器与 ESXi 主机之间（如果用户通过 Web 浏览器访问虚拟机）。
• vSphere Client 与 ESXi 主机之间（如果用户通过 vSphere Client 访问虚拟机）。此连接是 vSphere Client 与 vCenter Server 之间连接的补充，它需要一个不同的端口。
• vCenter Server 与 ESXi 主机之间。
• 网络中的 ESXi 主机之间。尽管主机之间的流量通常被认为是可信的，但是，如果您关注计算机的安全漏洞，可在主机间添加防火墙。

  如果在 ESXi 主机之间添加防火墙并计划在这些主机间迁移虚拟机，请在将源主机与目标主机隔开的防火墙中打开端口。

• ESXi 主机和网络存储（例如 NFS 或 iSCSI 存储）之间。这些端口并非专用于 VMware。根据网络规范进行配置。

在防火墙中打开 TCP 端口 443 以允许 vCenter Server接收数据。

默认情况下，vCenter Server使用 TCP 端口 443 侦听来自其客户端的数据。如果 vCenter Server及其客户端之间设有防火墙，则必须配置一个可供vCenter Server 接收其客户端数据的连接。防火墙配置取决于您的站点所用策略，有关信息，请咨询您本地的防火墙系统管理员。

如果在 ESXi主机与 vCenter Server 之间配置了防火墙，请确保受管主机可以接收数据。

要配置用于接收数据的连接，请打开用于 vSphere High Availability、vMotion、vSphere Fault Tolerance 等服务的通信的端口。有关配置文件、vSphere Client访问权限以及防火墙命令的讨论，请参见配置 ESXi 防火墙。有关端口列表，请参见 VMware Ports and Protocols Tool™，网址为 https://ports.vmware.com。

如果您的环境中不包含 vCenter Server，客户端可以直接连接到 ESXi 网络。

• 使用防火墙保护 ESXi 层，或者保护客户端和 ESXi 层，具体取决于您的配置。该防火墙可为网络提供基本保护。
• 此类配置中的许可证是您在每个主机上安装的 ESXi 包的一部分。由于许可功能驻留在 ESXi 上，因此不需要设有防火墙的单独 License Server。

您可以使用 ESXCLI 或使用 VMware Host Client 配置防火墙端口。请参见《vSphere 单台主机管理 - VMware Host Client》。

必须打开某些端口，供用户和管理员与虚拟机控制台进行通信。必须打开的端口取决于虚拟机控制台的类型，以及是通过 vCenter Server 使用 vSphere Client 进行连接还是通过 VMware Host Client 直接连接到 ESXi 主机。

有关端口、用途和分类（入站、出站或双向）的详细信息，请参见 VMware Ports and Protocols Tool™，网址为 https://ports.vmware.com。