ESXi 包含預設為啟用的防火牆。在安裝期間,ESXi 防火牆會設定為封鎖傳入和傳出流量 (主機安全性設定檔中已啟用之服務的流量除外)。

開啟防火牆上的連接埠時,請考慮不受限制地存取 ESXi 主機上執行的服務,會使主機遭受外部攻擊和未經授權的存取。將 ESXi 防火牆設定為僅允許從授權網路進行存取,可降低風險。

備註: 防火牆還允許網際網路控制訊息通訊協定或 ICMP、Ping 及與 DHCP 和 DNS (僅 UDP) 用戶端的通訊。

使用 VMware Host Client 管理 ESXi 防火牆設定

透過 VMware Host Client 登入 ESXi 主機時,您可為服務或管理代理程式設定傳入和傳出防火牆連線。

備註: 如果不同的服務具有重疊的連接埠規則,則啟用一項服務時可能會隱式啟用其他服務。您可以指定允許存取主機上每個服務的 IP 位址,以避免發生此問題。

程序

  1. VMware Host Client 詳細目錄中按一下網路
  2. 按一下防火牆規則
    VMware Host Client 將顯示相應防火牆連接埠的作用中傳入和傳出連線清單。
  3. 針對某些服務,您可以管理服務詳細資料。在某個服務上按一下滑鼠右鍵,然後從快顯功能表中選取一個選項。
    • 使用開始停止重新啟動按鈕,暫時變更服務狀態。
    • 變更啟動原則,將服務設定為隨主機、防火牆連接埠一起啟動和停止,或手動加以啟動和停止。

使用 VMware Host ClientESXi 主機新增允許的 IP 位址

依預設,每項服務的防火牆均允許存取所有 IP 位址。若要限制流量,請設定每項服務,以僅允許來自您的管理子網路的流量。如果您的環境不使用某些服務,您亦可取消選取這些服務。

程序

  1. VMware Host Client 詳細目錄中按一下網路,然後按一下防火牆規則
  2. 從清單中按一下服務,然後按一下編輯設定
  3. 在 [允許的 IP 位址] 區段中,按一下僅允許從下列網路連線,然後輸入想要連線到主機之網路的 IP 位址。
    使用逗點分隔 IP 位址。可以使用以下位址格式:
    • 192.168.0.0/24
    • 192.168.1.2, 2001::1/64
    • fd3e:29a6:0a81:e478::/64
  4. 按一下確定