ESXi include un firewall abilitato per impostazione predefinita. Durante l'installazione, il firewall ESXi viene configurato in modo da bloccare il traffico in entrata e in uscita, ad eccezione di quello relativo ai servizi abilitati nel profilo di sicurezza host.

Quando si aprono porte sul firewall, tenere presente che l'accesso illimitato ai servizi in esecuzione in un host ESXi può esporre l'host ad attacchi esterni e accessi non autorizzati. Ridurre il rischio configurando il firewall ESXi per consentire l'accesso solo da reti autorizzate.

Nota: Il firewall consente inoltre messaggi ICMP (Internet Control Message Protocol), ping e comunicazioni con client DHCP e DNS (solo UDP).

Gestione delle impostazioni del firewall ESXi mediante VMware Host Client

Quando si accede a un host ESXi con VMware Host Client, è possibile configurare connessioni firewall in entrata e in uscita per un servizio o un agente di gestione.

Nota: Se servizi diversi hanno regole porta sovrapposte, l'abilitazione di un servizio potrebbe implicitamente abilitare altri servizi. È possibile specificare a quali indirizzi IP è consentito accedere a ciascun servizio sull'host per evitare questo problema.

Procedura

  1. Fare clic su Rete nell'inventario di VMware Host Client.
  2. Fare clic su Regole firewall.
    In VMware Host Client viene visualizzato un elenco delle connessioni in entrata e in uscita attive con le porte firewall corrispondenti.
  3. Per alcuni servizi è possibile gestire i dettagli. Fare clic con il pulsante destro del mouse su un servizio e scegliere un'opzione dal menu a comparsa.
    • Utilizzare i pulsanti Avvia, Interrompi o Riavvia per modificare temporaneamente lo stato di un servizio.
    • Modificare il criterio di avvio per fare in modo che il servizio venga avviato e interrotto con l'host, le porte firewall o manualmente.

Aggiunta di indirizzi IP consentiti per un host ESXi mediante VMware Host Client

Per impostazione predefinita, il firewall di ogni servizio consente l'accesso a tutti gli indirizzi IP. Per limitare il traffico, configurare ciascun servizio in modo da consentire il traffico solo dalla subnet di gestione. È inoltre possibile deselezionare alcuni servizi se non in uso nel proprio ambiente.

Procedura

  1. Fare clic su Rete nell'inventario di VMware Host Client, quindi selezionare Regole firewall.
  2. Fare clic su un servizio nell'elenco e quindi su Modifica impostazioni.
  3. Nella sezione Indirizzi IP consentiti fare clic su Consenti solo connessioni dalle seguenti reti e immettere gli indirizzi IP delle reti che si desidera connettere all'host.
    Separare gli indirizzi IP con virgole. È possibile utilizzare i seguenti formati di indirizzi:
    • 192.168.0.0/24
    • 192.168.1.2, 2001::1/64
    • fd3e:29a6:0a81:e478::/64
  4. Fare clic su OK.