ESXi防火墙规则在哪配置?命令行完整实操教程
ESXi主机自带高性能硬件防火墙,是保障虚拟化主机安全、拦截非法访问的核心屏障,很多运维仅熟悉图形界面配置,不掌握命令行运维方式。ESXi所有防火墙状态、规则开启、端口放行、IP限制等配置,均可通过 esxcli network firewall 系列命令完成,适配6.7/7.0/8.0全版本。本文从零讲解命令行配置方法、常用指令、规则查询、端口放行、故障处理及运维规范,适合批量运维与应急排错场景。
一、ESXi防火墙配置核心入口
ESXi防火墙拥有图形界面和命令行两种配置方式,图形界面适合单点可视化操作,而生产运维、批量自动化、应急排错场景,首选命令行模式。
ESXi防火墙专属核心命令前缀:
esxcli network firewall
该命令是VMware官方统一标准配置入口,可实现防火墙开关、规则查询、服务放行、端口启用、白名单IP配置等全功能操作,覆盖ESXi防火墙100%配置场景,全版本通用、配置即时生效,无需重启主机或网络服务。
二、ESXi防火墙基础状态查询命令
配置规则前,需先掌握基础查询指令,确认防火墙当前运行状态、已有规则,避免配置冲突。
2.1 查看防火墙全局状态
esxcli network firewall get执行后可查看防火墙是否开启、默认转发策略、规则加载状态,快速判断主机防火墙整体防护状态,默认ESXi防火墙为开启状态,仅放行虚拟化核心服务端口。
2.2 查看所有防火墙规则集
esxcli network firewall ruleset list该命令会列出系统所有预设服务规则集,包含SSH、vMotion、vSAN、NFS、iSCSI等虚拟化常用服务,同时显示每条规则的启用状态,是日常巡检核心指令。
2.3 查看单条规则详细端口与协议
esxcli network firewall ruleset rule list -r 规则集名称可精准查询指定服务的端口号、TCP/UDP协议、允许访问范围,用于排查端口不通、服务访问异常问题。
三、核心实操:防火墙规则开启与关闭
ESXi防火墙不支持直接自定义单端口,采用规则集(ruleset)管理模式,每个规则集对应一套服务端口,运维只需开启或关闭对应规则即可实现端口放行。
3.1 启用指定服务防火墙规则(放行端口)
日常最常用核心命令,开启对应服务端口,允许外部访问主机对应服务:
esxcli network firewall ruleset set -r 规则集名 -e true示例:开启SSH远程访问端口规则
esxcli network firewall ruleset set -r sshServer -e true3.2 关闭指定服务防火墙规则(禁用端口)
esxcli network firewall ruleset set -r sshServer -e false操作即时生效,关闭后外部无法通过对应端口访问主机服务,提升主机安全性。
3.3 全局开启/关闭防火墙(应急使用)
仅建议临时排错使用,生产环境禁止长期关闭全局防火墙:
# 关闭防火墙 esxcli network firewall set --enabled false # 开启防火墙 esxcli network firewall set --enabled true四、进阶配置:指定IP白名单访问规则
ESXi防火墙支持精细化权限控制,可限制仅指定IP或网段访问对应服务,杜绝全网开放风险,兼顾实用性与安全性。
4.1 允许指定IP访问服务
esxcli network firewall ruleset allowedip add -r sshServer -i 192.168.1.100配置后仅该IP可连接主机SSH服务,其他IP全部拦截,有效防范暴力破解攻击。
4.2 查看已允许的白名单IP
esxcli network firewall ruleset allowedip list -r sshServer4.3 删除指定白名单IP
esxcli network firewall ruleset allowedip remove -r sshServer -i 192.168.1.100五、虚拟化常用规则集名称对照表
整理运维高频使用的防火墙规则集,直接复制即可配置:
1. sshServer:SSH远程连接22端口规则
2. vmotion:vMotion虚拟机迁移端口规则
3. vsan:vSAN存储集群通信规则
4. nfsClient:NFS存储挂载客户端规则
5. iscsiClient:iSCSI存储客户端规则
6. httpClient/httpServer:网页管理访问端口规则
六、常见故障排查方案
6.1 规则已开启但端口不通
优先排查白名单IP限制、上层物理交换机防火墙、路由拦截问题,ESXi防火墙规则开启后默认放行,不通大概率是外网网络拦截导致。
6.2 配置规则不生效
执行规则重载命令,刷新防火墙配置:
esxcli network firewall load6.3 开机后自定义规则丢失
ESXi命令行配置规则默认永久保存,若丢失多为配置未正常写入,重载配置并确认主机配置分区无异常即可。
七、生产环境运维规范与避坑指南
1. 禁止全局关闭防火墙:仅临时排错可短暂关闭,业务运行必须开启,防止主机暴露在公网/内网遭受攻击。
2. 最小权限放行:不使用的服务端口一律关闭,按需开启必要规则,优先配置IP白名单,杜绝全网放行。
3. 避免自定义端口乱配置:ESXi优先使用官方预设规则集,不建议手动修改防火墙配置文件,防止规则冲突导致网络瘫痪。
4. 批量统一配置:集群所有主机防火墙规则保持一致,避免单节点配置差异化引发vMotion、vSAN通信异常。
八、全文总结
ESXi防火墙核心配置入口为esxcli network firewall系列命令,无需依赖图形界面,可完整实现防火墙状态查询、服务规则启停、端口放行、IP白名单管控等所有配置操作,适配ESXi全系列版本。相较于图形界面,命令行配置更高效、适合自动化批量运维,是虚拟化运维必备技能。日常运维需遵循最小权限原则,按需放行服务端口、精细化管控访问来源,在保障业务正常运行的同时,最大限度提升ESXi主机安全防护能力。
注·部分内容为AI辅助生成
浙公网安备 33010602011771号