ESXi 5防火墻是VMware vSphere 5一個新特性，可以通過vSphere Client或命令行配置。ESXi 5防火墻以前只存在于剛剛停止使用的ESX hypervisor中。VMware曾經聲稱ESXi不需要防火墻，因為輕量級hypervisor幾乎不會開啟任何服務或端口，這樣不會被攻擊。

我認為VMware在ESXi 5中增加防火墻有以下幾點原因。使用防火墻，ESXi 5 能夠延續原有ESX Server的這一顯著特性。同時，防火墻給用戶及合作伙伴發出了一個信號，那就是VMware在致力于安全。最后，vSphere 5仍舊像之前一樣安全，甚至更好。

和ESX Server防火墻一樣，新的ESXi 防火墻只保護管理接口，并不保護單個的虛擬機。ESXi防火墻是一個面向服務的無狀態防火墻，這意味著它不追蹤網絡會話而只評估經過的每個數據包。也就是說，ESXi防火墻是一個完全不同的防火墻引擎，消除了對定義端口規則或服務的iptables及規則集的使用。對于遠程主機來說，你可以指定允許訪問每個服務的IP地址或IP地址范圍。當然你可以使用vSphere Client或命令行配置這些參數。

使用vSphere Client配置ESXi防火墻

ESXi 5防火墻默認是開啟的，位于ESXi server管理接口和網絡之間。

安裝完ESXi 5防火墻后，除了用于管理的默認TCP和UDP服務，比如SSH（端口號22），DNS（端口號53），DHCP（端口號68）之外，初始配置阻止所有的輸入、輸出流量。需要注意的是ESXi 主機的ICMP（ping操作使用該協議）默認是啟用的。

你可以在vSphere Client中查看并編輯輸入、輸出的TCP和UDP端口號。在“主機配置”選項卡下，單擊“軟件安全配置文件”，選擇“屬性”，你將看到ESXi防火墻和主機上用于網絡訪問的服務相關聯。如果服務被創建，并且勾選了復選框，那么該服務的流量就能夠穿過防火墻。

同樣也可以定義能夠通過指定端口訪問ESXi主機的IP地址或IP地址范圍。單擊“防火墻”按鈕然后輸入允許的IP地址即可完成配置。

使用命令行配置ESXi防火墻

你可以使用PowerCLI，vSphere Management Assistant（vSphere管理助手）或ESXi主機的命令行配置ESXi防火墻。但是首先你必須在ESxi主機上啟用Tech Support Mode或Remote Tech Support Mode。比如在啟用Remote Tech Support Mode后就可以通過安全Shell連接到ESXi 5主機了。以下幾個文件是配置ESXi 防火墻的關鍵文件。

規則集配置文件：（/etc/vmware/firewall/service.xml）該文件包含默認的防火墻規則，由端口和協議兩部分組成。

服務配置文件：（/etc/vmware/services/service.xml）該文件列出了默認的服務及防火墻規則分組。

雖然你也可以通過vSphere Client啟用、禁用規則，或者打開、關閉服務，但是增加新的防火墻規則只能通過命令行操作。你可以通過編輯這些文件（比如在命令行下輸入“vi /etc/vmware/firewall/service.xmlte”命令）添加規則。然后使用esxcli網絡防火墻刷新命令啟用防火墻規則。

通過命令也可以啟用/禁用整個防火墻，啟用/禁用規則，或者為防護墻規則添加/刪除指定的IP地址或IP地址范圍。