ESXi incluye un firewall que está habilitado de forma predeterminada.

En el momento de realizar la instalación, el firewall de ESXi se configura para bloquear el tráfico entrante y saliente, excepto el tráfico de los servicios que están habilitados en el perfil de seguridad del host.

Al abrir puertos en el firewall, tenga en cuenta que el acceso no restringido a los servicios que se ejecutan en un host ESXi pueden exponer un host a ataques externos y acceso no autorizado. Para reducir el riesgo, configure el firewall de ESXi para que permita el acceso solo desde redes autorizadas.

Nota:

El firewall también permite pings del protocolo Control Message Protocol (ICMP) y la comunicación con los clientes DHCP y DNS (solo UDP).

Es posible administrar puertos de firewall de ESXi de la siguiente manera:

  • Utilice el perfil de seguridad para cada host de vSphere Web Client. Consulte Administrar la configuración del firewall de ESXi

  • Utilice los comandos ESXCLI en la línea de comandos o en los scripts. Consulte Comandos de firewall ESXCLI de ESXi.

  • Utilice un VIB si el puerto que desea abrir no está incluido en el perfil de seguridad.

    Los VIB personalizados se crean con la herramienta vibauthor disponible en VMware Labs. Para instalar el VIB personalizado, se debe cambiar el nivel de aceptación del host ESXi a CommunitySupported. Consulte el artículo 2007381 de la base de conocimientos de VMware.

    Nota:

    Si pide al soporte técnico de VMware que investigue un problema en un host ESXi con un VIB CommunitySupported instalado, es posible que el soporte de VMware solicite que se desinstale el VIB CommunitySupported como medida de solución de problemas para determinar si este está relacionado con el problema que se investiga.

El comportamiento del conjunto de reglas del cliente NFS (nfsClient) es diferente a otros conjuntos de reglas. Cuando el conjunto de reglas del cliente NFS está habilitado, todos los puertos TCP salientes están abiertos para los hosts de destino que se incluyen en la lista de direcciones IP permitidas. Consulte Comportamiento de firewall del cliente NFS para obtener más información.