近年來Zero Trust議題逐漸被重視,防範的惡意連結不在只有公司外部對內的連線,內部網路的連線應該也要有適當的管制,避免有惡意行為的跳板機從內部網路發動攻擊。
小編今天要來介紹如何啟動VMware Esxi Host Server的內建防火牆,以確保管理服務只有被授權的IP存取。
環境:VMware Esxi 7.0.2
Set01、確認防火牆狀態
指令:
esxcli network firewall get
Set02、啟動防火牆
指令:
esxcli network firewall set –enabled true
Set03、設定服務可連線的IP
(a).點選ESXi主機左方選單的「網路」。
(b).點選右邊畫面的「防火牆規則」頁面,接著搜尋要設定防火牆的服務(本範例是設定443Port的Web管理畫面連線),透過選取確認要設定的服務,接著點選「編輯設定」。
(c).點選「僅允許從下列的網路連線」,輸入要放行的IP,完成IP輸入後點選「確定」套用設定。
(d).最後檢查該服務的防火牆規則是否有「啟用」, 滑鼠指著要確認的服務,接著按下滑鼠右鍵,如果有看見「啟用」選項,就點選「啟用」。
如果看見「停用」,代表防火牆規則已啟用無須變更設定。
補充說明:
如果防火牆規則有誤設定,導致無法連入VMware ESXi主機,此時需要到實體Server機的Console面前設定ESXi Server啟動「Troubleshooting Options」。
選擇「Enable ESXi Shell」
接著在鍵盤輸入「Ctrl」+「Alt」+「F1」,切換到本機的Console命令提示畫面,通過管理者帳號密碼驗證後,接著透過指令將防火牆關閉,即可重新連線ESXi Server並重新設定防火牆規則。
關閉防火牆指令語法:
esxcli network firewall set –enabled false