ESXi contient un pare-feu activé par défaut.

Lors de l'installation, le pare-feu d'ESXi est configuré pour bloquer le trafic entrant et sortant, sauf le trafic des services activés dans le profil de sécurité de l'hôte.

Réfléchissez bien avant d'ouvrir des ports sur le pare-feu, car l'accès illimité aux services qui s'exécutent sur un hôte ESXi peut exposer ce dernier aux attaques extérieures et aux accès non autorisés. Pour minimiser les risques, configurez le pare-feu ESXi de manière à autoriser l'accès uniquement depuis les réseaux autorisés.

Remarque :

Le pare-feu permet également d'utiliser les commandes ping ICMP (Internet Control Message Protocol) et autorise les communications avec les clients DHCP et DNS (UDP uniquement).

Vous pouvez gérer les ports du pare-feu d'ESXi de la manière suivante :

  • Utilisez le profil de sécurité de chacun des hôtes dans vSphere Web Client. Reportez-vous à Gérer les paramètres du pare-feu ESXi

  • Utilisez les commandes ESXCLI dans la ligne de commande ou dans les scripts. Reportez-vous à Commandes de pare-feu ESXCLI d'ESXi.

  • Utilisez un VIB personnalisé si le port que vous cherchez à ouvrir n'est pas inclus dans le profil de sécurité.

    Vous créez des VIB personnalisés avec l'outil vibauthor disponible dans VMware Labs. Pour installer le VIB personnalisé, vous devez modifier le niveau d'acceptation de l'hôte ESXi sur CommunitySupported. Voir l'article 2007381 de la base de connaissances VMware.

    Remarque :

    Si vous contactez le support technique VMware pour examiner un problème relatif à un hôte ESXi avec un VIB CommunitySupported installé, il se peut que le support VMware demande de désinstaller le VIB CommunitySupported dans le cadre de la résolution du problème afin de déterminer si ce VIB est associé au problème étudié.

Le comportement de l'ensemble de règles du client NFS (nfsClient) diffère de celui des autres ensembles de règles. Lorsque l'ensemble de règles du client NFS est activé, tous les ports TCP sortants sont ouverts aux hôtes de destination figurant dans la liste des adresses IP autorisées. Consultez Comportement du pare-feu client NFS pour plus d'informations.