ESXi enthält eine Firewall, die standardmäßig aktiviert ist. Während der Installation wird die ESXi-Firewall so konfiguriert, dass mit Ausnahme des Datenverkehrs für Dienste, die im Sicherheitsprofil des Hosts aktiviert sind, der ein- und ausgehende Datenverkehr blockiert wird. Sie verwalten die Firewall mithilfe von vSphere Client, der CLI und der API.
Beim Öffnen der Ports in der Firewall müssen Sie sich bewusst sein, dass der uneingeschränkte Zugriff auf die Dienste eines ESXi-Hosts den Host für Angriffe von außen und nicht autorisierten Zugriff verwundbar machen. Verringern Sie dieses Risiko, indem Sie die ESXi-Firewall so konfigurieren, dass sie nur den Zugriff über autorisierte Netzwerke zulässt.
Sie können ESXi-Firewallports wie folgt verwalten:
- Verwenden Sie vSphere Client. Weitere Informationen hierzu finden Sie unter Verwalten von ESXi-Firewalleinstellungen. für jeden Host im
- Verwenden Sie ESXCLI-Befehle über die Befehlszeile oder in Skripts. Weitere Informationen hierzu finden Sie unter Verwenden von ESXCLI-Firewall-Befehlen zum Konfigurieren des ESXi-Verhaltens.
- Verwenden Sie ein benutzerdefiniertes VIB, wenn der Port, der geöffnet werden soll, nicht im Sicherheitsprofil enthalten ist.
Um das benutzerdefinierte VIB zu installieren, müssen Sie die Akzeptanzebene des ESXi-Hosts in „CommunitySupported“ ändern.
Hinweis: Wenn Sie den technischen Support von VMware um Hilfe bei einem Problem auf einem ESXi-Host mit einem installierten CommunitySupported VIB bitten, können Sie vom VMware Support zur Deinstallation dieses VIB aufgefordert werden. Hierbei handelt es sich um einen der Schritte zur Fehlerbehebung, mit dem festgestellt werden soll, ob das VIB mit dem geprüften Problem in Zusammenhang steht.
Das Verhalten des NFS-Client-Regelsatzes (nfsClient) unterscheidet sich von dem Verhalten anderer Regelsätze. Wenn der NFS-Client-Regelsatz aktiviert ist, sind alle ausgehenden TCP-Ports für die Zielhosts in der Liste der zulässigen IP-Adressen offen. Weitere Informationen hierzu finden Sie unter NFS-Client-Firewallverhalten.
Verwalten von ESXi-Firewalleinstellungen
Sie können eingehende und ausgehende Firewallverbindungen für einen Dienst oder Management-Agent über den vSphere Client oder an der Befehlszeile konfigurieren.
In dieser Aufgabe wird die Verwendung des vSphere Client zum Konfigurieren von ESXi-Firewalleinstellungen beschrieben. Sie können die ESXi Shell oder ESXCLI-Befehle verwenden, um ESXi an der Befehlszeile zu konfigurieren und die Firewallkonfiguration zu automatisieren. Unter Verwenden von ESXCLI-Firewall-Befehlen zum Konfigurieren des ESXi-Verhaltens finden Sie Beispiele zur Verwendung der ESXCLI zum Ändern von Firewalls und Firewallregeln.
Prozedur
Hinzufügen von zulässigen IP-Adressen für einen ESXi-Host
Standardmäßig lässt die Firewall für jeden Dienst den Zugriff auf alle IP-Adressen zu. Um den Datenverkehr einzuschränken, ändern Sie jeden Dienst so, dass nur Datenverkehr aus Ihrem Verwaltungssubnetz zugelassen wird. Sie können auch einige Dienste deaktivieren, wenn diese in Ihrer Umgebung nicht verwendet werden.
Um die Liste zulässiger IP-Adressen für einen Dienst zu aktualisieren, können Sie den vSphere Client, ESXCLI oder PowerCLI verwenden. Diese Aufgabe beschreibt, wie Sie vSphere Client verwenden. Anweisungen zur Verwendung der ESXCLI finden Sie im Thema „Verwalten der ESXi Firewall“ in der Dokumentation ESXCLI-Konzepte und -Beispiele.
Prozedur
Ein- und ausgehende Firewall-Ports für ESXi-Hosts
Öffnen und schließen Sie die Firewall-Ports für jeden Dienst, indem Sie entweder den vSphere Client oder den VMware Host Client verwenden.
ESXi enthält eine Firewall, die standardmäßig aktiviert ist. Während der Installation wird die ESXi-Firewall so konfiguriert, dass mit Ausnahme des Datenverkehrs für Dienste, die im Sicherheitsprofil des Hosts aktiviert sind, der ein- und ausgehende Datenverkehr blockiert wird. Eine Liste der unterstützten Ports und Protokolle in der ESXi-Firewall finden Sie im Tool VMware Ports and Protocols™ unter https://ports.vmware.com/.
Im Tool VMware Ports and Protocols werden Portinformationen für Dienste aufgelistet, die standardmäßig installiert sind. Wenn Sie andere VIBs auf Ihrem Host installieren, stehen Ihnen möglicherweise weitere Dienste und Firewall-Ports zur Verfügung. Die Informationen gelten in erster Linie für Dienste, die im vSphere Client angezeigt werden. Das Tool VMware Ports and Protocols enthält jedoch auch einige andere Ports.
NFS-Client-Firewallverhalten
Der NFS-Client-Firewallregelsatz weist ein anderes Verhalten als andere ESXi-Firewallregelsätze auf. ESXi konfiguriert NFS-Client-Einstellungen, wenn Sie einen NFS-Datenspeicher mounten oder unmounten. Das Verhalten unterscheidet sich je nach NFS-Version.
Beim Hinzufügen, Mounten und Unmounten eines NFS-Datenspeichers hängt das Verhalten von der NFS-Version ab.
Firewallverhalten in NFS v3
Wenn Sie einen NFS-v3-Datenspeicher hinzufügen oder mounten, überprüft ESXi den Status des NFS-Client-Firewallregelsatzes (nfsClient).
- Wenn der Regelsatz nfsClient deaktiviert ist, aktiviert ihn ESXi und deaktiviert die Richtlinie „Alle IP-Adressen zulassen“, indem das Flag allowedAll auf FALSE gesetzt wird. Die IP-Adresse des NFS-Servers wird der zugelassenen Liste für ausgehende IP-Adressen hinzugefügt.
- Wenn nfsClient aktiviert ist, bleiben der Status des Regelsatzes und die Richtlinien der zugelassenen IP-Adressen unverändert. Die IP-Adresse des NFS-Servers wird der zugelassenen Liste für ausgehende IP-Adressen hinzugefügt.
Beim Entfernen oder Unmounten eines NFS-v3-Datenspeichers führt ESXi eine der folgenden Aktionen aus.
- Wenn keiner der verbleibenden NFS-v3-Datenspeicher von dem Server gemountet werden, auf dem der ungemountete Datenspeicher angesiedelt ist, entfernt ESXi die IP-Adresse des Servers aus der Liste der ausgehenden IP-Adressen.
- Wenn nach dem Unmounten keine gemounteten NFS-v3-Datenspeicher mehr übrig bleiben, deaktiviert ESXi den Firewallregelsatz nfsClient.
Firewallverhalten in NFS v4.1
Beim Mounten des ersten NFS-v4.1-Datenspeichers aktiviert ESXi den Regelsatz nfs41client und setzt das Flag allowedAll auf TRUE. Dabei wird Port 2049 für alle IP-Adressen geöffnet. Das Unmounten eines NFS-v4.1-Datenspeichers hat keine Auswirkungen auf den Status der Firewall. Das heißt, dass durch den ersten gemounteten NFS-v4.1-Datenspeicher Port 2049 geöffnet wird und dieser so lange geöffnet bleibt, bis Sie ihn explizit schließen.
Verwenden von ESXCLI-Firewall-Befehlen zum Konfigurieren des ESXi-Verhaltens
Wenn Ihre Umgebung mehrere ESXi-Hosts umfasst, automatisieren Sie die Firewallkonfiguration anhand von ESXCLI-Befehlen oder mit dem vSphere Web Services SDK.
Firewall-Befehlsreferenz
Sie können die ESXi Shell- oder ESXCLI-Befehle verwenden, um ESXi an der Befehlszeile zu konfigurieren und die Firewallkonfiguration zu automatisieren. Unter Erste Schritte mit ESXCLI finden Sie eine Einführung zum Umgang mit Firewalls und Firewallregeln. ESXCLI – Konzepte und Beispiele enthält Beispiele für die Verwendung von ESXCLI.
In ESXi 7.0 und höher ist der Zugriff auf die Datei service.xml
, die zum Erstellen benutzerdefinierter Firewallregeln verwendet wird, eingeschränkt. Im VMware-Knowledgebase-Artikel 2008226 finden Sie Informationen zum Erstellen benutzerdefinierter Firewallregeln mithilfe der Datei /etc/rc.local.d/local.sh
.
Befehl | Beschreibung |
---|---|
esxcli network firewall get | Geben Sie den Status der Firewall zurück und listen Sie die Standardaktionen auf. |
esxcli network firewall set --default-action | Legen Sie „true“ fest, um die Standardaktion auszuführen. Legen Sie „false“ fest, um die Standardaktion nicht auszuführen. |
esxcli network firewall set --enabled | Aktivieren oder deaktivieren Sie die ESXi-Firewall. |
esxcli network firewall load | Lädt das Firewallmodul und die Konfigurationsdateien des Regelsatzes. |
esxcli network firewall refresh | Aktualisiert die Firewall-Konfiguration durch das Einlesen der Regelsatzdateien, wenn das Firewallmodul geladen ist. |
esxcli network firewall unload | Löscht Filter und entlädt das Firewallmodul. |
esxcli network firewall ruleset list | Listet Informationen zu Regelsätzen auf. |
esxcli network firewall ruleset set --allowed-all | Legen Sie „true“ fest, um den Zugriff auf alle IP-Adressen zu erlauben. Legen Sie „false“ fest, um eine Liste mit zulässigen IP-Adressen zu verwenden. |
esxcli network firewall ruleset set --enabled --ruleset-id=<string> | Setzen Sie „Aktiviert“ auf „true“, um den angegebenen Regelsatz zu aktivieren. Setzen Sie „Aktiviert“ auf „false“, um den angegebenen Regelsatz zu deaktivieren. |
esxcli network firewall ruleset allowedip list | Listet die zulässigen IP-Adressen des angegebenen Regelsatzes auf. |
esxcli network firewall ruleset allowedip add | Ermöglicht den Zugriff auf den Regelsatz von der angegebenen IP-Adresse oder einem Bereich von IP-Adressen aus. |
esxcli network firewall ruleset allowedip remove | Deaktiviert den Zugriff auf den Regelsatz von der angegebenen IP-Adresse oder einem Bereich von IP-Adressen aus. |
esxcli network firewall ruleset rule list | Listet die Regeln jedes Regelsatzes in der Firewall auf. |