任何组织都必须控制并允许对其服务器的访问, 无论是否使用 VLAN 进行分段, 或通过物理防火墙进行控制, 一个好主意是实施微分段, 或者在某些情况下简化, 还可以在操作系统自己的防火墙上启用控制.

因此，在今天的文章中，我们将探讨这个问题, 如何启用对我们的 VMware ESXi 虚拟机监控程序和 VMware vCSA 管理设备的访问, 我们将使用您自己的防火墙启用控制, 仅允许我们感兴趣的访问. 当然，如果我们要得到一些 bug, 勒索软件或其他任何东西，并且逃逸的次数超过了它应该的程度, 因此，让我们缓解并尝试尽可能少地影响它. 由于必须有权访问设备的管理, 因此，让我们缩小范围并指出谁应该连接到 vCSA, 来自哪些 IP 地址, ESXi 主机也是如此.

Firewall de VMware ESXi

我们将能够通过多种方式编辑 ESXi 防火墙, 通过 CLI, 从其 Web 管理甚至 vCenter, 在他们每个人中单独, 或通过房东资料. 如果我们要 “配置” > “系统” > “防火墙”, 我们将能够编辑每个虚拟机管理程序附带的规则, 入站和出站.

我们将能够在传入规则中搜索 “vSphere Web 客户端” 通常由 443TCP 和 902TCP 使用, 以及 “vSphere Web 访问” 这将使用端口 80TCP. 在那里，我们可以添加一个以逗号分隔的 IP 地址列表, 该列表将是可以访问这些服务的 IP 地址. 通常是管理团队, 跳; 以及可以支持的备份或其他服务, 是 VDI 基础架构…

如果我们在主机上启用了 SSH, 我们可以在 “安全外壳” 指示我们将从哪些 IP 地址授予对 SSH 连接的访问权限.

VMware vCSA 防火墙

更改我们的 VMware vCSA 设备或 Virtual Center Server 设备上的防火墙, 我们将使用浏览器访问端口的设备管理 5480 通过 HTTPS, 以及使用特权帐户登录后, 我们将访问菜单 “菲瓦雷尔” 我们可以添加规则. 默认情况下，它打开了所有内容.

我们可以根据需要制定任意数量的规则, 添加可以连接到 vCSA 的特定 IP 地址，最后我们必须设置拒绝规则, 拒绝其余的. 一样, 记住您的虚拟基础架构可以使用的所有内容, 谁需要 vCenter, 管理职位或跳槽团队, 备份系统, 自建 VM…

一如既往，我希望它们能成为您感兴趣的文档, 我们的想法始终是改进, 尽量减少不当访问, 让我们避免恐惧 😉 愿你一切顺利, 你很快乐，那些事情 =)