ESXi enthält eine Firewall, die standardmäßig aktiviert ist. Während der Installation wird die ESXi-Firewall so konfiguriert, dass mit Ausnahme des Datenverkehrs für Dienste, die im Sicherheitsprofil des Hosts aktiviert sind, der ein- und ausgehende Datenverkehr blockiert wird. Sie verwalten die Firewall mithilfe von vSphere Client, der CLI und der API.

Beim Öffnen der Ports in der Firewall müssen Sie sich bewusst sein, dass der uneingeschränkte Zugriff auf die Dienste eines ESXi-Hosts den Host für Angriffe von außen und nicht autorisierten Zugriff verwundbar machen. Verringern Sie dieses Risiko, indem Sie die ESXi-Firewall so konfigurieren, dass sie nur den Zugriff über autorisierte Netzwerke zulässt.

Hinweis: Die Firewall lässt auch Internet Control Message Protocol (ICMP)-Pings und Kommunikation mit DHCP- und DNS- Clients (nur UDP) zu.

Sie können ESXi-Firewallports wie folgt verwalten:

  • Verwenden Sie Konfigurieren > Firewall für jeden Host im vSphere Client. Weitere Informationen hierzu finden Sie unter Verwalten von ESXi-Firewalleinstellungen.
  • Verwenden Sie ESXCLI-Befehle über die Befehlszeile oder in Skripts. Weitere Informationen hierzu finden Sie unter Verwenden von ESXCLI-Firewall-Befehlen zum Konfigurieren des ESXi-Verhaltens.
  • Verwenden Sie ein benutzerdefiniertes VIB, wenn der Port, der geöffnet werden soll, nicht im Sicherheitsprofil enthalten ist.

    Um das benutzerdefinierte VIB zu installieren, müssen Sie die Akzeptanzebene des ESXi-Hosts in „CommunitySupported“ ändern.

    Hinweis: Wenn Sie den technischen Support von VMware um Hilfe bei einem Problem auf einem ESXi-Host mit einem installierten CommunitySupported VIB bitten, können Sie vom VMware Support zur Deinstallation dieses VIB aufgefordert werden. Hierbei handelt es sich um einen der Schritte zur Fehlerbehebung, mit dem festgestellt werden soll, ob das VIB mit dem geprüften Problem in Zusammenhang steht.

Das Verhalten des NFS-Client-Regelsatzes (nfsClient) unterscheidet sich von dem Verhalten anderer Regelsätze. Wenn der NFS-Client-Regelsatz aktiviert ist, sind alle ausgehenden TCP-Ports für die Zielhosts in der Liste der zulässigen IP-Adressen offen. Weitere Informationen hierzu finden Sie unter NFS-Client-Firewallverhalten.

Verwalten von ESXi-Firewalleinstellungen

Sie können eingehende und ausgehende Firewallverbindungen für einen Dienst oder Management-Agent über den vSphere Client oder an der Befehlszeile konfigurieren.

In dieser Aufgabe wird die Verwendung des vSphere Client zum Konfigurieren von ESXi-Firewalleinstellungen beschrieben. Sie können die ESXi Shell oder ESXCLI-Befehle verwenden, um ESXi an der Befehlszeile zu konfigurieren und die Firewallkonfiguration zu automatisieren. Unter Verwenden von ESXCLI-Firewall-Befehlen zum Konfigurieren des ESXi-Verhaltens finden Sie Beispiele zur Verwendung der ESXCLI zum Ändern von Firewalls und Firewallregeln.

Hinweis: Wenn sich die Portregeln verschiedener Dienste überschneiden, kann das Aktivieren eines Diensts möglicherweise dazu führen, dass implizit weitere Dienste aktiviert werden. Sie können angeben, welche IP-Adressen auf jeden Dienst auf dem Host zugreifen können, um dieses Problem zu vermeiden.

Prozedur

  1. Melden Sie sich beim vCenter Server mit dem vSphere Client an.
  2. Navigieren Sie zum Host in der Bestandsliste.
  3. Klicken Sie auf Konfigurieren und dann unter System auf Firewall.
    Sie können zwischen eingehenden und ausgehenden Verbindungen wechseln, indem Sie auf Eingehend und Ausgehend klicken.
  4. Klicken Sie im Abschnitt „Firewall“ auf Bearbeiten.
  5. Wählen Sie aus einer der Dienstgruppen Nicht gruppiert, Secure Shell und Simple Network Management Protocol aus.
  6. Wählen Sie die zu aktivierenden Regelsätze aus oder heben Sie die Auswahl der zu deaktivierenden Regelsätze auf.
  7. Für bestimmte Dienste können Sie auch Dienstdetails verwalten, indem Sie zu Konfigurieren > System > Dienste navigieren.
    Weitere Informationen zum Starten, Stoppen und Neustarten von Diensten finden Sie unter Aktivieren oder Deaktivieren eines ESXi-Diensts.
  8. Bei einigen Diensten können Sie ausdrücklich IP-Adressen angeben, von denen aus Verbindungen zulässig sind.
    Weitere Informationen hierzu finden Sie unter Hinzufügen von zulässigen IP-Adressen für einen ESXi-Host.
  9. Klicken Sie auf OK.

Hinzufügen von zulässigen IP-Adressen für einen ESXi-Host

Standardmäßig lässt die Firewall für jeden Dienst den Zugriff auf alle IP-Adressen zu. Um den Datenverkehr einzuschränken, ändern Sie jeden Dienst so, dass nur Datenverkehr aus Ihrem Verwaltungssubnetz zugelassen wird. Sie können auch einige Dienste deaktivieren, wenn diese in Ihrer Umgebung nicht verwendet werden.

Um die Liste zulässiger IP-Adressen für einen Dienst zu aktualisieren, können Sie den vSphere Client, ESXCLI oder PowerCLI verwenden. Diese Aufgabe beschreibt, wie Sie vSphere Client verwenden. Anweisungen zur Verwendung der ESXCLI finden Sie im Thema „Verwalten der ESXi Firewall“ in der Dokumentation ESXCLI-Konzepte und -Beispiele.

Prozedur

  1. Melden Sie sich beim vCenter Server mit dem vSphere Client an.
  2. Navigieren Sie zum ESXi-Host.
  3. Klicken Sie auf Konfigurieren und dann unter System auf Firewall.
    Sie können zwischen eingehenden und ausgehenden Verbindungen wechseln, indem Sie auf Eingehend und Ausgehend klicken.
  4. Klicken Sie im Abschnitt „Firewall“ auf Bearbeiten.
  5. Wählen Sie aus einer der drei Dienstgruppen Nicht gruppiert, Secure Shell und Simple Network Management Protocol aus.
  6. Um den Abschnitt „Zulässige IP-Adressen“ anzuzeigen, erweitern Sie einen Dienst.
  7. Deaktivieren Sie im Abschnitt „Zulässige IP-Adressen“ die Option Verbindungen von jeder beliebigen IP-Adresse zulassen und geben Sie die IP-Adressen der Netzwerke ein, die eine Verbindung zum Host herstellen dürfen.
    Trennen Sie mehrere IP-Adressen durch Kommas. Sie können die folgenden Adressformate verwenden:
    • 192.168.0.0/24
    • 192.168.1.2, 2001::1/64
    • fd3e:29a6:0a81:e478::/64
  8. Stellen Sie sicher, dass der Dienst selbst ausgewählt ist.
  9. Klicken Sie auf OK.
  10. Überprüfen Sie Ihre Änderung in der Spalte Zulässige IP-Adressen für den Dienst.

Ein- und ausgehende Firewall-Ports für ESXi-Hosts

Öffnen und schließen Sie die Firewall-Ports für jeden Dienst, indem Sie entweder den vSphere Client oder den VMware Host Client verwenden.

ESXi enthält eine Firewall, die standardmäßig aktiviert ist. Während der Installation wird die ESXi-Firewall so konfiguriert, dass mit Ausnahme des Datenverkehrs für Dienste, die im Sicherheitsprofil des Hosts aktiviert sind, der ein- und ausgehende Datenverkehr blockiert wird. Eine Liste der unterstützten Ports und Protokolle in der ESXi-Firewall finden Sie im Tool VMware Ports and Protocols™ unter https://ports.vmware.com/.

Im Tool VMware Ports and Protocols werden Portinformationen für Dienste aufgelistet, die standardmäßig installiert sind. Wenn Sie andere VIBs auf Ihrem Host installieren, stehen Ihnen möglicherweise weitere Dienste und Firewall-Ports zur Verfügung. Die Informationen gelten in erster Linie für Dienste, die im vSphere Client angezeigt werden. Das Tool VMware Ports and Protocols enthält jedoch auch einige andere Ports.

NFS-Client-Firewallverhalten

Der NFS-Client-Firewallregelsatz weist ein anderes Verhalten als andere ESXi-Firewallregelsätze auf. ESXi konfiguriert NFS-Client-Einstellungen, wenn Sie einen NFS-Datenspeicher mounten oder unmounten. Das Verhalten unterscheidet sich je nach NFS-Version.

Beim Hinzufügen, Mounten und Unmounten eines NFS-Datenspeichers hängt das Verhalten von der NFS-Version ab.

Firewallverhalten in NFS v3

Wenn Sie einen NFS-v3-Datenspeicher hinzufügen oder mounten, überprüft ESXi den Status des NFS-Client-Firewallregelsatzes (nfsClient).

  • Wenn der Regelsatz nfsClient deaktiviert ist, aktiviert ihn ESXi und deaktiviert die Richtlinie „Alle IP-Adressen zulassen“, indem das Flag allowedAll auf FALSE gesetzt wird. Die IP-Adresse des NFS-Servers wird der zugelassenen Liste für ausgehende IP-Adressen hinzugefügt.
  • Wenn nfsClient aktiviert ist, bleiben der Status des Regelsatzes und die Richtlinien der zugelassenen IP-Adressen unverändert. Die IP-Adresse des NFS-Servers wird der zugelassenen Liste für ausgehende IP-Adressen hinzugefügt.
Hinweis: Wenn Sie vor oder nach dem Hinzufügen eines NFS-v3-Datenspeichers zum System den Regelsatz nfsClient manuell aktivieren oder die Richtlinie „Alle IP-Adressen zulassen“ manuell festlegen, werden Ihre Einstellungen nach dem Unmounten des letzten NFS-v3-Datenspeichers überschrieben. Der Regelsatz nfsClient wird nach dem Unmounten aller NFS-v3-Datenspeicher deaktiviert.

Beim Entfernen oder Unmounten eines NFS-v3-Datenspeichers führt ESXi eine der folgenden Aktionen aus.

  • Wenn keiner der verbleibenden NFS-v3-Datenspeicher von dem Server gemountet werden, auf dem der ungemountete Datenspeicher angesiedelt ist, entfernt ESXi die IP-Adresse des Servers aus der Liste der ausgehenden IP-Adressen.
  • Wenn nach dem Unmounten keine gemounteten NFS-v3-Datenspeicher mehr übrig bleiben, deaktiviert ESXi den Firewallregelsatz nfsClient.

Firewallverhalten in NFS v4.1

Beim Mounten des ersten NFS-v4.1-Datenspeichers aktiviert ESXi den Regelsatz nfs41client und setzt das Flag allowedAll auf TRUE. Dabei wird Port 2049 für alle IP-Adressen geöffnet. Das Unmounten eines NFS-v4.1-Datenspeichers hat keine Auswirkungen auf den Status der Firewall. Das heißt, dass durch den ersten gemounteten NFS-v4.1-Datenspeicher Port 2049 geöffnet wird und dieser so lange geöffnet bleibt, bis Sie ihn explizit schließen.

Verwenden von ESXCLI-Firewall-Befehlen zum Konfigurieren des ESXi-Verhaltens

Wenn Ihre Umgebung mehrere ESXi-Hosts umfasst, automatisieren Sie die Firewallkonfiguration anhand von ESXCLI-Befehlen oder mit dem vSphere Web Services SDK.

Firewall-Befehlsreferenz

Sie können die ESXi Shell- oder ESXCLI-Befehle verwenden, um ESXi an der Befehlszeile zu konfigurieren und die Firewallkonfiguration zu automatisieren. Unter Erste Schritte mit ESXCLI finden Sie eine Einführung zum Umgang mit Firewalls und Firewallregeln. ESXCLI – Konzepte und Beispiele enthält Beispiele für die Verwendung von ESXCLI.

In ESXi 7.0 und höher ist der Zugriff auf die Datei service.xml, die zum Erstellen benutzerdefinierter Firewallregeln verwendet wird, eingeschränkt. Im VMware-Knowledgebase-Artikel 2008226 finden Sie Informationen zum Erstellen benutzerdefinierter Firewallregeln mithilfe der Datei /etc/rc.local.d/local.sh.

Tabelle 1. Firewall-Befehle
Befehl Beschreibung
esxcli network firewall get Geben Sie den Status der Firewall zurück und listen Sie die Standardaktionen auf.
esxcli network firewall set --default-action Legen Sie „true“ fest, um die Standardaktion auszuführen. Legen Sie „false“ fest, um die Standardaktion nicht auszuführen.
esxcli network firewall set --enabled Aktivieren oder deaktivieren Sie die ESXi-Firewall.
esxcli network firewall load Lädt das Firewallmodul und die Konfigurationsdateien des Regelsatzes.
esxcli network firewall refresh Aktualisiert die Firewall-Konfiguration durch das Einlesen der Regelsatzdateien, wenn das Firewallmodul geladen ist.
esxcli network firewall unload Löscht Filter und entlädt das Firewallmodul.
esxcli network firewall ruleset list Listet Informationen zu Regelsätzen auf.
esxcli network firewall ruleset set --allowed-all Legen Sie „true“ fest, um den Zugriff auf alle IP-Adressen zu erlauben. Legen Sie „false“ fest, um eine Liste mit zulässigen IP-Adressen zu verwenden.
esxcli network firewall ruleset set --enabled --ruleset-id=<string> Setzen Sie „Aktiviert“ auf „true“, um den angegebenen Regelsatz zu aktivieren. Setzen Sie „Aktiviert“ auf „false“, um den angegebenen Regelsatz zu deaktivieren.
esxcli network firewall ruleset allowedip list Listet die zulässigen IP-Adressen des angegebenen Regelsatzes auf.
esxcli network firewall ruleset allowedip add Ermöglicht den Zugriff auf den Regelsatz von der angegebenen IP-Adresse oder einem Bereich von IP-Adressen aus.
esxcli network firewall ruleset allowedip remove Deaktiviert den Zugriff auf den Regelsatz von der angegebenen IP-Adresse oder einem Bereich von IP-Adressen aus.
esxcli network firewall ruleset rule list Listet die Regeln jedes Regelsatzes in der Firewall auf.