修改esxi 防火墙策略

esxi 系统和 linux 系统一样,会不断的暴出各种安全问题,虽然有了 update manager 可以指升级 esxi 操作系统的版本,但仍然会有很大的风险。而通过防火墙策略来限制允许访问的原地址,则是一个折中的安全措施。

vcenter5.0以后,对 esxi 的配置增加不少,esx 中能开关防火墙策略,但不能配置原地址限制。在5.0以后可以了,起码你不再需要一台台登陆 到 esx 系统中进行配置了。

配置方法如下:

  1. 打开 vmware client ,连接到你要修改的 vcenter 上;
  2. 在左侧的树状列表中,选择你要修改的 esxi 主机;
  3. 在右上面的标签页上选择“配置”;
  4. 在下面左边出现的配置列表中,选择“安全配置文件”;(这名字有点奇怪)
  5. 右边的页面有两部分,上面部分允许修改 esxi 的服务属性及启停相关服务,下面的部分是防火墙策略,我们需要的功能在下面部分里;

点击属性,会展示出一个策略列表对话框,选中你要修改的策略条目,点击下面的“防火墙”按钮,就可以对列出的策略进行修改。

防火墙策略里列了很多系统自带的服务,但不是全部,比如 ntp服务,在 vcenter 里就找不到,当然也不能通过 vcenter 配置。如果你想通过 vcenter 管理这些策略或是服务时,需要修改 esxi 的主机/etc/vmware/firewall/service.xml 配置文件。

修改 service.xml 文件的属性,否则你编辑不了它;

chmod 644 /etc/vmware/firewall/service.xml
chmod +t /etc/vmware/firewall/service.xml

然后 vi /etc/vmware/firewall/service.xml,增加一段类似下面的信息,<service id>不要和前面的服务重复,<id>是对此服务的描述,其他部分很好理解,方向、协议、端口等,按你需要的修改就行。

<service id="0050">
 <id>VNASTCPIn</id>
 <rule id=‘0000‘>
  <direction>inbound</direction>
  <protocol>tcp</protocol>
  <porttype>dst</porttype>
  <port>12345</port>
 </rule>
 <enabled>true</enabled>
 <required>false</required>
</service>

这一段要加在最后一个</ConfigRoot>的前面。

然后再把权限 改回去,这样安全一些

chmod 444 /etc/vmware/firewall/service.xml
chmod -t /etc/vmware/firewall/service.xml

刷新一下防火墙策略,你就能看到新的防火墙规则出现在了 vcenter 管理界面里,就可以按上面的步骤进行配置了。

原本以为这样配置就 OK 了,但今天查找资料的时候发现 vmware 上的说明,自已修改的防火墙策略会在下一次引导后被还原,怎样让配置永久生效,还挺复杂,请关注下一篇博文。

时间: 2024-10-05 18:21:37

修改esxi 防火墙策略的相关文章

Zabbix通过JMX监控tomcat——防火墙策略问题分析

一.现 状 对于Zabbix通过JMX来监控tomcat,网络上有很多文章,但大都是相同或类似的,且都是没有设置防火墙的,所以就安装而言百度就行.现在为了服务的安全,是必须开启防火墙的.于是出现了一系列的问题. 二.当前环境 1.Zabbix_server的Zabbix版本是3.0.4,系统是Centos7.0,使用YUM安装. Centos7.0 YUM安装地址:http://blog.csdn.net/reblue520/article/details/52136850 2.Zabbix-s

zabbix通过JMX监控tomcat,防火墙策略配置

一.目前的环境 被监控端192.168.153.191 /usr/local/tomcat 下载了catalina-jmx-remote.jar放到了tomcat安装目录的lib目录下,现在为止这个jar包没有派上用场. /usr/local/jdk1.7.0_79 在tomcat的bin目录下的catalina.sh脚本里面添加如下内容(可以写成一行,这个百度下能找到) Html代码 CATALINA_OPTS="${CATALINA_OPTS} -Djava.rmi.server.hostn

Centos 开机启动iptables防火墙策略

运行环境 Centos6.7 [[email protected] ~]# vim ipt.sh #!/bin/bash ipt="/sbin/iptables" $ipt -F $ipt -P INPUT ACCEPT #$ipt -t nat -P INPUT DROP $ipt -P OUTPUT ACCEPT $ipt -A INPUT -p tcp -s 10.0.0.1 --dport 20 -j ACCEPT $ipt -A INPUT -p tcp -s 255.10.

防火墙策略

firewall 防火墙策略(默认开启) firewall-config 打开图形化界面 活动的绑定:指的是哪个默认的区域在工作 区域的理解:类似于公共网络的概念 建议:再修改防火墙的时候,一定要看清基于哪个网卡的配置 drop:接入到该区域的流量全被拒绝 block:接入到该区域的流量全是拒绝的,但是针对于icmp协议会返回,destination host prohibited dorp流量全部被允许 trusted:接入到该区域的流量全被信任 home:只信任home网络 work:信任工

达内-linux基础-day07-聚合链接和防火墙策略管理(初级)

###############################################################################  配置聚合连接(网卡绑定)team,聚合连接(也称为链路聚合)– 由多块网卡(team-slave)一起组建而成的虚拟网卡,即"组队"– 作用1:轮询式(roundrobin)的流量负载均衡 – 作用2:热备份(activebackup)连接冗余 一.添加team团队设备[[email protected] ~]# man te

系统安全保护以及防火墙策略管理

系统安全保护 SELinux概述 ? Security-Enhanced Linux – 美国NSA国家安全局主导开发,一套增强Linux系统安全的强制访问控制体系 – 集成到Linux内核(2.6及以上)中运行 – RHEL7基于SELinux体系针对用户.进程.目录和文件提供了预设的保护策略,以及管理工具 ? SELinux的运行模式 – enforcing(强制).permissive(宽松) – disabled(彻底禁用) ? 切换运行模式 – 临时切换:setenforce 1|0

系统安全保护 配置用户环境 配置高级连接 防火墙策略管理

SELinux概述? Security-Enhanced Linux – 美国NSA国家安全局主导开发,一套增强Linux系统安全的强制访问控制体系– 集成到Linux内核(2.6及以上)中运行– RHEL7基于SELinux体系针对用户.进程.目录和文件提供了预设的保护策略,以及管理工具 ? SELinux的运行模式– enforcing(强制).permissive(宽松)– disabled(彻底禁用) 任何状态变成disabled(彻底禁用),都必须通过重起reboot ? 切换运行模式

系统安全保护与防火墙策略

SELinux模式的切换 enforcing(强制)permissive(宽松)disabled(禁用)与disabled模式相关的切换都需要重启getenforce ----查看模式临时切换:setenforce 1|0 (1-强制,0-宽松)永久配置:/etc/selinux/config 搭建基本的Web服务 yum -y install httpd systemctl restart httpd systemctl enable httpd(开机自启) 本机访问测试>>> fir

windows 开启防火墙策略允许ftp端口通过

windows 开启防火墙策略允许ftp端口通过,布布扣,bubuko.com