通过修改ESXi与vCenter防火墙规则，仅允许指定IP可登陆访问

操作目的默认情况下任何能网络到达 ESXi/vCenter 管理 IP 的人都可以尝试访问 Web 管理界面通常为 443 端口。通过限制仅允许指定的可信 IP如企业内网管理终端、堡垒机、网管平台访问其余未授权的 IP 将被拒绝。可以大幅降低恶意用户、扫描工具或攻击者暴力破解密码、利用未知漏洞的风险。通过修改 ESXi 主机及 vCenter 所管理主机的防火墙规则仅允许预先设定的可信 IP如企业内网管理终端、堡垒机、网管平台访问其余未授权的 IP 将被拒绝。1. ESXi 主机界面修改直接登录 ESXi 主机通过浏览器登录 ESXi 主机的 Web 管理界面默认地址https://ESXi_IP。左侧导航栏选择“网络”→“防火墙规则”。在防火墙规则列表中找到以下两项可使用搜索框快速定位vSphere Web AccessvSphere Web Client分别点击每条规则右侧的“编辑”图标或鼠标悬停后出现的铅笔图标。在弹出的编辑窗口中找到“允许的 IP 地址”或“Allowed IP Addresses”输入框。输入需要放行的客户端 IP 地址。多个 IP 地址之间使用英文逗号,隔开示例192.168.1.10,192.168.1.20,10.0.0.5。支持单个 IP、IP 段如192.168.1.0/24或 CIDR 格式。点击“确定”保存规则。设置立即生效无需重启服务。2. vSphere Client 界面修改通过 vCenter Server 管理适用于使用vSphere ClientHTML5 Web 客户端连接 vCenter Server 后对单个 ESXi 主机进行防火墙配置。登录 vSphere Client通常连接 vCenter Server。在“主机和集群”视图中选择要修改的目标 ESXi 主机。点击右侧“配置”选项卡。在“系统”或“安全”栏目下找到并点击“防火墙”或“安全配置文件” → “防火墙”。在防火墙规则列表中找到以下两项vSphere Web AccessvSphere Web Client分别点击每条规则后的“编辑”按钮。在编辑窗口中切换到“允许的 IP 地址”标签页或类似选项。点击“添加”或直接在输入框中填写允许的 IP 地址。多个 IP 用英文逗号,隔开。确认无误后点击“确定”保存规则。注意事项修改防火墙规则前请确保当前使用的管理 IP已添加至允许列表否则修改后自身会被踢出导致无法管理。若需允许整个子网访问可使用 CIDR 格式例如192.168.1.0/24。上述设置仅限制Web 管理服务的访问来源不会影响虚拟机网络流量或其他服务。以上内容仅供参考任何变更操作均需谨慎小心谢谢。