ESXi防火墙配置：端口开放与安全加固实战

ESXi内置防火墙默认只开放必要的服务端口，但在实际使用中往往需要开放特定端口供远程管理或应用使用。本文详细介绍ESXi防火墙的配置方法、常用端口说明以及生产环境安全加固的最佳实践。

资源下载：点击下载

复制上方链接到浏览器下载ESXi安全加固工具包。

ESXi防火墙基础

ESXi的防火墙是基于VMkernel层面的规则，对进出ESXi主机的流量进行过滤。与传统防火墙不同，ESXi防火墙是随服务（Service）开关的??开启一个服务时，对应的防火墙端口自动开放。

ESXi的默认策略是拒绝所有未明确允许的入站流量。这意味着默认情况下，所有入站连接都被阻止，只有已配置服务允许的流量可以通过。

查看当前防火墙状态：通过esxcli network firewall get可以看到防火墙是否启用以及默认动作是什么。

通过vSphere Client配置防火墙

在vSphere Client中，选择主机→「配置」→「安全配置文件」→「防火墙」，可以看到所有已配置的服务和规则。

点击「属性」查看服务列表。每个服务对应一组防火墙端口。例如要开放SSH，需要勾选「SSH Server」服务，ESXi会自动开放22端口。

对于没有对应服务的自定义端口，可以通过「防火墙规则」选项手动添加入站和出站规则。需要指定协议（TCP/UDP）、端口范围和动作（允许/拒绝）。

常用服务端口说明

vSphere Client连接ESXi使用443端口（Web管理界面）和902端口（虚拟机控制台访问）。这两个端口通常需要从管理网络访问。

SSH默认端口22，建议如果不是必须可以关闭SSH服务。如需使用，确保SSH仅对管理网络开放，不要对公网开放。

vMotion使用8000端口（vSphere 6.7及以下）或8000-8199端口范围（vSphere 7.0+），用于虚拟机迁移时的数据同步。vMotion网络应该与公网隔离。

iSCSI存储使用3260端口，如果使用软件iSCSI initiator，还需要在ESXi中配置iSCSI适配器绑定到特定VMkernel端口。

安全加固建议

第一，禁用不必要的服务。在「安全配置文件」→「服务」中，禁用SSH、ESXi Shell、NSX等非必要服务。减少开放的服务就减少了攻击面。

第二，网络分段。将ESXi管理网络、vMotion网络、存储网络和虚拟机网络分开。ESXi管理界面仅允许从管理网络IP访问，不要暴露在业务网络中。

第三，启用锁屏模式（Lockdown Mode）。在「安全配置文件」中可以启用锁屏模式，启用后只有vCenter可以访问ESXi，无法直接通过DCUI或SSH登录主机。

第四，强密码策略。在「主机」→「配置」→「安全配置文件」→「密码配置」中，设置密码复杂度要求和过期时间。强密码是防止未授权访问的第一道防线。

常见问题

问题一：vSphere Client无法连接ESXi。首先检查443和902端口是否可达，然后检查ESXi主机防火墙是否阻止了连接。

问题二：iSCSI存储无法连接。检查ESXi的iSCSI端口是否正确配置，存储服务器的防火墙是否开放了3260端口，IQN授权是否正确。

问题三：开启了服务但端口不通。可能是vSphere Client显示服务已开启，但对应的防火墙规则未生效。尝试在ESXi Shell中用esxcli network firewall ruleset list查看实际生效的规则。

总结

ESXi防火墙是主机安全的第一道屏障。正确配置防火墙规则，确保只开放必要的端口，同时对管理网络进行严格隔离，可以大幅降低ESXi主机的安全风险。