通过修改ESXi与vCenter防火墙规则,仅允许指定IP可登陆访问
操作目的
默认情况下,任何能网络到达 ESXi/vCenter 管理 IP 的人都可以尝试访问 Web 管理界面(通常为 443 端口)。通过限制仅允许指定的可信 IP(如企业内网管理终端、堡垒机、网管平台)访问,其余未授权的 IP 将被拒绝。可以大幅降低恶意用户、扫描工具或攻击者暴力破解密码、利用未知漏洞的风险。
通过修改 ESXi 主机及 vCenter 所管理主机的防火墙规则,仅允许预先设定的可信 IP(如企业内网管理终端、堡垒机、网管平台)访问,其余未授权的 IP 将被拒绝。
1. ESXi 主机界面修改(直接登录 ESXi 主机)
通过浏览器登录 ESXi 主机的 Web 管理界面(默认地址:
https://<ESXi_IP>)。左侧导航栏选择“网络”→“防火墙规则”。
在防火墙规则列表中,找到以下两项(可使用搜索框快速定位):
vSphere Web AccessvSphere Web Client
分别点击每条规则右侧的“编辑”图标(或鼠标悬停后出现的铅笔图标)。
在弹出的编辑窗口中,找到“允许的 IP 地址”或“Allowed IP Addresses”输入框。
输入需要放行的客户端 IP 地址。
多个 IP 地址之间使用英文逗号
,隔开(示例:192.168.1.10,192.168.1.20,10.0.0.5)。支持单个 IP、IP 段(如
192.168.1.0/24)或 CIDR 格式。
点击“确定”保存规则。
设置立即生效,无需重启服务。
2. vSphere Client 界面修改(通过 vCenter Server 管理)
适用于使用vSphere Client(HTML5 Web 客户端)连接 vCenter Server 后对单个 ESXi 主机进行防火墙配置。
登录 vSphere Client(通常连接 vCenter Server)。
在“主机和集群”视图中,选择要修改的目标 ESXi 主机。
点击右侧“配置”选项卡。
在“系统”或“安全”栏目下,找到并点击“防火墙”(或“安全配置文件” → “防火墙”)。
在防火墙规则列表中,找到以下两项:
vSphere Web AccessvSphere Web Client
分别点击每条规则后的“编辑”按钮。
在编辑窗口中,切换到“允许的 IP 地址”标签页(或类似选项)。
点击“添加”或直接在输入框中填写允许的 IP 地址。
多个 IP 用英文逗号
,隔开。
确认无误后点击“确定”保存规则。
注意事项
修改防火墙规则前,请确保当前使用的管理 IP已添加至允许列表,否则修改后自身会被踢出,导致无法管理。
若需允许整个子网访问,可使用 CIDR 格式,例如
192.168.1.0/24。上述设置仅限制Web 管理服务的访问来源,不会影响虚拟机网络流量或其他服务。
以上内容仅供参考,任何变更操作均需谨慎小心,谢谢。