Bei der Migration oder dem Upgrade von ESX/ESXi 4.x auf ESXi 5.x werden mehrere Änderungen an der Firewall-Konfiguration des Hosts vorgenommen.

Wenn Sie von ESX 4.x auf ESXi 5.x migrieren, wird die Liste der ESX 4.x-Regelsätze durch die neue Regelsatzliste in ESXi 5.x ersetzt. Die folgende Konfiguration aus der Datei /etc/vmware/esx.conf wird beibehalten:

  • Der bestehende Status „Aktiviert/Deaktiviert“.

  • allowedip, die von esxcfg-firewall hinzugefügt wurde.

Vom Benutzer hinzugefügte Regelsatzdateien und in ESX 4.x. erstellte benutzerdefinierte Firewallregeln werden nach der Migration nicht beibehalten. Für diejenigen Regelsätze, für die es keine Einträge in der Datei /etc/vmware/esx.conf von ESX 4.x gibt, lädt die ESXi 5.x-Firewall beim ersten Start nach der Migration den standardmäßigen aktivierten Status.

Nach der Migration auf ESXi 5.x wird die Blockierungsrichtlinie unter ESXi 5.x nur dann standardmäßig auf „false“ gesetzt (standardmäßig darf der gesamte Datenverkehr PASSIEREN), wenn die Werte für „blockIncoming“ und „blockOutgoing“ der Standardrichtlinie in der ESX 4.x-Datei /etc/vmware/esx.conf auf „false“ gesetzt sind. Andernfalls wird der gesamte Datenverkehr standardmäßig blockiert.

Benutzerdefinierte Ports, die mithilfe des ESX/ESXi 4.1-Befehls esxcfg-firewall geöffnet wurden, bleiben nach dem Upgrade auf ESXi 5.x nicht geöffnet. Die Konfigurationseinträge werden durch den Upgrade-Vorgang in die Datei esx.conf portiert, die entsprechenden Ports werden jedoch nicht geöffnet. Weitere Informationen zur ESXi-Firewall-Konfiguration finden Sie in der vSphere-Sicherheit-Dokumentation.

Wichtig:

Die ESXi-Firewall in ESXi 5.x lässt das Filtern des vMotion-Datenverkehrs pro Netzwerk nicht zu. Daher müssen Sie Regeln für Ihre externe Firewall installieren, um sicherzustellen, dass keine eingehenden Verbindungen mit dem vMotion-Socket hergestellt werden können.