ESXi には、デフォルトで有効になっているファイアウォールが含まれています。
インストール時、ESXi ファイアウォールは、受信トラフィックと送信トラフィックをブロックするように構成されています。ただし、ホストのセキュリティ プロファイルで有効なサービスのトラフィックは除外されます。
ファイアウォールのポートを開くときには、ESXi ホストで実行されているサービスへのアクセスを制限しなければ、そのホストが外部攻撃と不正アクセスの危険にさらされることを考慮します。認証済みのネットワークからのアクセスのみを許可するように ESXi ファイアウォールを設定してリスクを低減します。
注: ファイアウォールは、ICMP (Internet Control Message Protocol) の ping と、DHCP および DNS (UDP のみ) クライアントとの通信も許可します。
次のように ESXi ファイアウォール ポートを管理できます。
- vSphere Client 内の各ホストに対して、 を使用します。ESXiファイアウォール設定の管理 を参照してください。
- コマンド ラインまたはスクリプトで ESXCLI コマンドを使用します。ESXi ESXCLI ファイアウォールのコマンドを参照してください。
- 開く必要があるポートがセキュリティ プロファイルに含まれていない場合にカスタム VIB を使用します。
カスタム VIB をインストールするには、ESXi ホストの許容レベルを CommunitySupported に変更する必要があります。
注: CommunitySupported VIB がインストールされている ESXi ホストの問題の調査を依頼すると、VMware テクニカル サポートから、この VIB をアンインストールするよう求められることがあります。要求された手順を実行し、調査中の問題がこの VIB に関連しているかどうかを判別するためのトラブルシューティングを行います。
NFS クライアントのルール セット (nfsClient) の動作は、ほかのルール セットとは異なります。NFS クライアントのルール セットが有効な場合、すべての送信 TCP ポートは、許可された IP アドレス一覧のターゲット ホストに対して開かれます。詳細についてはNFS クライアント ファイアウォールの動作を参照してください。