ESXi には、デフォルトで有効になっているファイアウォールが含まれています。インストール中、ESXi ファイアウォールは、受信トラフィックと送信トラフィックをブロックするように構成されています。ただし、ホストのセキュリティ プロファイルで有効にされているサービスのトラフィックは除外されます。

ファイアウォールのポートを開く場合は、外部からの攻撃や不正アクセスの危険にさらされる可能性があるため、ESXi ホストで実行されているサービスへのアクセスを制限することを検討します。認証済みのネットワークからのアクセスのみを許可するように ESXi ファイアウォールを構成してリスクを軽減します。

注: ファイアウォールは、ICMP (Internet Control Message Protocol) の ping と、DHCP および DNS(UDP のみ)クライアントとの通信も許可します。

VMware Host Client を使用した ESXi ファイアウォール設定の管理

VMware Host ClientESXi ホストにログインすると、サービスまたは管理エージェントの受発信用ファイアウォール接続を構成できます。

注: 異なるサービスに重複するポート ルールが適用されている場合は、1 つのサービスを有効にすると、他のサービスも暗黙的に有効化されます。どの IP アドレスにホストの各サービスへのアクセスを許可するかを指定するとこの問題を回避できます。

手順

  1. VMware Host Client インベントリ内で [ネットワーク] をクリックします。
  2. [ファイアウォール ルール] をクリックします。
    VMware Host Client により、アクティブな着信および発信接続や、それを対応するファイアウォール ポートのリストが表示されます。
  3. 一部のサービスでは、サービスの詳細を管理できます。サービスを右クリックし、ポップアップ メニューからオプションを選択します。
    • 開始 ボタン、停止 ボタン、または 再起動 ボタンを使用して、一時的にサービスのステータスを変更します。
    • 起動ポリシーを変更し、ホストおよびファイアウォール ポートでのサービスの起動および停止を構成するか、手動で設定します。

VMware Host Client を使用した、ESXi ホストの許可された IP アドレスの追加

デフォルトでは、各サービスのファイアウォールはすべての IP アドレスへのアクセスを許可します。トラフィックを制限するには、管理サブネットからのトラフィックだけを許可するように各サービスを構成します。環境で使用されないサービスがある場合には、それらの選択を解除することもできます。

手順

  1. VMware Host Client インベントリ内で [ネットワーク] をクリックし、[ファイアウォール ルール] をクリックします。
  2. リスト内のサービスをクリックし、[設定の編集] をクリックします。
  3. [許可された IP アドレス] セクションで、[次のネットワークからの接続のみを許可します] をクリックし、ホストに接続するネットワークの IP アドレスを入力します。
    IP アドレスをコンマで区切ります。次のアドレス形式を使用できます。
    • 192.168.0.0/24
    • 192.168.1.2, 2001::1/64
    • fd3e:29a6:0a81:e478::/64
  4. [OK] をクリックします。