ESXi enthält eine Firewall, die standardmäßig aktiviert ist. Während der Installation wird die ESXi-Firewall so konfiguriert, dass mit Ausnahme des Datenverkehrs für Dienste, die im Sicherheitsprofil des Hosts aktiviert sind, der ein- und ausgehende Datenverkehr blockiert wird.

Beim Öffnen der Ports in der Firewall müssen Sie sich bewusst sein, dass der uneingeschränkte Zugriff auf die Dienste eines ESXi-Hosts den Host für Angriffe von außen und nicht autorisierten Zugriff verwundbar machen. Reduzieren Sie dieses Risiko, indem Sie die ESXi-Firewall so konfigurieren, dass sie nur den Zugriff über autorisierte Netzwerke zulässt.

Hinweis: Die Firewall lässt auch Internet Control Message Protocol oder ICMP, Pings und Kommunikation mit DHCP- und DNS- Clients (nur UDP) zu.

Verwalten von ESXi-Firewalleinstellungen mithilfe des VMware Host Client

Wenn Sie bei einem ESXi-Host mit dem VMware Host Client angemeldet sind, können Sie ein- und ausgehende Firewallverbindungen für einen Dienst- oder einen Verwaltungs-Agent konfigurieren.

Hinweis: Wenn sich die Portregeln verschiedener Dienste überschneiden, kann das Aktivieren eines Diensts möglicherweise dazu führen, dass implizit weitere Dienste aktiviert werden. Sie können angeben, welche IP-Adressen auf jeden Dienst auf dem Host zugreifen können, um dieses Problem zu vermeiden.

Prozedur

  1. Klicken Sie in der VMware Host Client-Bestandsliste auf Netzwerk.
  2. Klicken Sie auf Firewallregeln.
    Der VMware Host Client zeigt eine Liste der aktiven eingehenden und ausgehenden Verbindungen mit den entsprechenden Firewallports an.
  3. Für einige Dienste können Dienstdetails verwaltet werden. Klicken Sie mit der rechten Maustaste auf einen Dienst und wählen Sie eine Option aus dem Popup-Menü.
    • Verwenden Sie die Schaltflächen Starten, Anhalten oder Neu starten, um den Status eines Dienstes vorübergehend zu ändern.
    • Ändern Sie die Startrichtlinie, um den Dienst so zu konfigurieren, dass er mit dem Host, den Firewallports oder manuell startet und stoppt.

Hinzufügen von zulässigen IP-Adressen für einen ESXi-Host mit dem VMware Host Client

Standardmäßig lässt die Firewall für jeden Dienst den Zugriff auf alle IP-Adressen zu. Um den Datenverkehr einzuschränken, konfigurieren Sie jeden Dienst so, dass nur Datenverkehr aus Ihrem Verwaltungssubnetz zugelassen wird. Sie können auch einige Dienste deaktivieren, wenn diese in Ihrer Umgebung nicht verwendet werden.

Prozedur

  1. Klicken Sie in der VMware Host Client-Bestandsliste auf Netzwerke und anschließend auf Firewallregeln.
  2. Wählen Sie einen Dienst aus der Liste aus und klicken Sie auf Einstellungen bearbeiten.
  3. Klicken Sie im Abschnitt „Zulässige IP-Adressen“ auf Nur Verbindungen von den folgenden Netzwerken zulassen und geben Sie die IP-Adressen der Netzwerke ein, die eine Verbindung zum Host herstellen dürfen.
    Trennen Sie mehrere IP-Adressen durch Kommas. Sie können die folgenden Adressformate verwenden:
    • 192.168.0.0/24
    • 192.168.1.2, 2001::1/64
    • fd3e:29a6:0a81:e478::/64
  4. Klicken Sie auf OK.