Standardmäßig lässt die Firewall für jeden Dienst den Zugriff auf alle IP-Adressen zu. Um den Datenverkehr einzuschränken, ändern Sie jeden Dienst so, dass nur Datenverkehr aus Ihrem Verwaltungssubnetz zugelassen wird. Sie können auch einige Dienste deaktivieren, wenn diese in Ihrer Umgebung nicht verwendet werden.

Um die Liste zulässiger IP-Adressen für einen Dienst zu aktualisieren, können Sie den vSphere Client, ESXCLI oder PowerCLI verwenden. Standardmäßig sind für einen Dienst alle IP-Adressen zugelassen. Diese Aufgabe beschreibt, wie Sie vSphere Client verwenden. Anweisungen zur Verwendung der ESXCLI finden Sie im Thema zur Verwaltung der Firewall in ESXCLI Concepts and Examples unter https://code.vmware.com/.

Prozedur

  1. Melden Sie sich beim vCenter Server mit dem vSphere Client an.
  2. Navigieren Sie zum ESXi-Host.
  3. Klicken Sie auf Konfigurieren und dann unter System auf Firewall.
    Sie können zwischen eingehenden und ausgehenden Verbindungen wechseln, indem Sie auf Eingehend und Ausgehend klicken.
  4. Klicken Sie im Abschnitt „Firewall“ auf Bearbeiten.
  5. Wählen Sie aus einer der drei Dienstgruppen Nicht gruppiert, Secure Shell und Simple Network Management Protocol aus.
  6. Um den Abschnitt „Zulässige IP-Adressen“ anzuzeigen, erweitern Sie einen Dienst.
  7. Deaktivieren Sie im Abschnitt „Zulässige IP-Adressen“ die Option Verbindungen von jeder beliebigen IP-Adresse zulassen und geben Sie die IP-Adressen der Netzwerke ein, die eine Verbindung zum Host herstellen dürfen.
    Trennen Sie mehrere IP-Adressen durch Kommas. Sie können die folgenden Adressformate verwenden:
    • 192.168.0.0/24
    • 192.168.1.2, 2001::1/64
    • fd3e:29a6:0a81:e478::/64
  8. Stellen Sie sicher, dass der Dienst selbst ausgewählt ist.
  9. Klicken Sie auf OK.
  10. Überprüfen Sie Ihre Änderung in der Spalte Zulässige IP-Adressen für den Dienst.