ESXi enthält eine Firewall, die standardmäßig aktiviert ist.

Während der Installation wird die ESXi-Firewall so konfiguriert, dass mit Ausnahme des Datenverkehrs für Dienste, die im Sicherheitsprofil des Hosts aktiviert sind, der ein- und ausgehende Datenverkehr blockiert wird.

Beim Öffnen der Ports in der Firewall müssen Sie sich bewusst sein, dass der uneingeschränkte Zugriff auf die Dienste eines ESXi-Hosts den Host für Angriffe von außen und nicht autorisierten Zugriff verwundbar machen. Reduzieren Sie dieses Risiko, indem Sie die ESXi-Firewall so konfigurieren, dass sie nur den Zugriff über autorisierte Netzwerke zulässt.

Hinweis: Die Firewall lässt auch Internet Control Message Protocol (ICMP)-Pings und Kommunikation mit DHCP- und DNS- Clients (nur UDP) zu.
Sie können ESXi-Firewallports wie folgt verwalten:
  • Verwenden Sie das Sicherheitsprofil für jeden Host im vSphere Web Client. Siehe Verwalten von ESXi-Firewalleinstellungen.
  • Verwenden Sie ESXCLI-Befehle über die Befehlszeile oder in Skripts. Weitere Informationen hierzu finden Sie unter ESXi ESXCLI-Firewall-Befehle.
  • Verwenden Sie ein benutzerdefiniertes VIB, wenn der Port, der geöffnet werden soll, nicht im Sicherheitsprofil enthalten ist.

    Mit dem vibauthor-Tool von VMware Labs können Sie benutzerdefinierte VIBs erstellen. Um das benutzerdefinierte VIB zu installieren, müssen Sie die Akzeptanzebene des ESXi-Hosts in „CommunitySupported“ ändern. Weitere Informationen finden Sie im VMware-Knowledgebase-Artikel 2007381.

    Hinweis: Wenn Sie sich an den technischen Support von VMware wenden, um ein Problem auf einem ESXi-Host zu prüfen, auf dem ein CommunitySupported VIB installiert ist, kann der VMware Support verlangen, dass dieses CommunitySupported VIB als einer der Schritte zur Fehlerbehebung deinstalliert wird, um festzustellen, ob das VIB mit dem geprüften Problem in Zusammenhang steht.

Das Verhalten des NFS-Client-Regelsatzes (nfsClient) unterscheidet sich von dem Verhalten anderer Regelsätze. Wenn der NFS-Client-Regelsatz aktiviert ist, sind alle ausgehenden TCP-Ports für die Zielhosts in der Liste der zulässigen IP-Adressen offen. Weitere Informationen hierzu finden Sie unter NFS-Client-Firewallverhalten.