ESXi ESXCLI 防火墙命令指南

ESXi 防火墙是保护虚拟化环境安全的重要组成部分。以下是使用 ESXCLI 管理 ESXi 防火墙的常用命令和操作指南。

基本防火墙状态管理

1. 查看防火墙状态：

   esxcli network firewall get
   

2. 启用防火墙：

   esxcli network firewall set --enabled true
   

3. 禁用防火墙：

   esxcli network firewall set --enabled false
   

规则集管理

1. 列出所有可用规则集：

   esxcli network firewall ruleset list
   

2. 查看特定规则集状态：

   esxcli network firewall ruleset rule list -r <规则集名称>
   

3. 启用规则集：

   esxcli network firewall ruleset set --enabled true -r <规则集名称>
   

4. 禁用规则集：

   esxcli network firewall ruleset set --enabled false -r <规则集名称>
   

端口管理

1. 允许特定IP访问规则集：

   esxcli network firewall ruleset allowedip add -i <IP地址> -r <规则集名称>
   

2. 移除允许的IP：

   esxcli network firewall ruleset allowedip remove -i <IP地址> -r <规则集名称>
   

3. 列出规则集允许的IP：

   esxcli network firewall ruleset allowedip list -r <规则集名称>
   

自定义防火墙规则

1. 创建自定义规则集：

   esxcli network firewall ruleset add --ruleset-id=<自定义规则集名称> --allowed-all false
   

2. 为规则集添加端口：

   esxcli network firewall ruleset rule add -r <规则集名称> -d <方向(in/out)> -p tcp -P <端口号>
   

3. 删除规则集中的规则：

   esxcli network firewall ruleset rule remove -r <规则集名称> -d <方向> -p tcp -P <端口号>
   

其他实用命令

1. 重新加载防火墙配置：

   esxcli network firewall refresh
   

2. 查看防火墙日志：

   esxcli network firewall logging get
   

3. 设置防火墙日志级别：

   esxcli network firewall logging set --level <info/emerg/alert/crit/error/warn/notice/debug> --enable true
   

注意事项

1. 更改防火墙设置后，建议使用refresh命令使更改立即生效
2. 对生产环境进行防火墙修改前，应在测试环境中验证
3. 错误的防火墙配置可能导致管理访问中断，建议通过控制台或iLO/IPMI接口进行配置
4. 永久性配置更改需要在ESXi主机重启后仍然有效

如需更详细的帮助，可以使用esxcli network firewall --help查看完整的命令参考。