如何监控 ESXi 主机的外部设备和端口，确保没有未经授权的访问？

1. 服务接口管控：通过vSphere Client禁用ESXi Shell/SSH服务(仅调试时临时启用)，在Direct Console启用Lockdown Mode限制非vCenter操作。使用主机配置文件固化防火墙策略，仅开放vCenter通信所需的902/443端口，并通过IP地址范围限制管理终端访问权限。

2. 物理端口审计：在BIOS层面禁用未使用的USB/SATA控制器，通过vCenter硬件状态监控PCIe设备变更记录。配置vSphere Alarm在检测到新存储设备挂载时触发邮件告警，同时利用PowerCLI脚本每日比对硬件清单哈希值。

3. 网络端口监控：采用esxcli network firewall ruleset rule list命令实时检查防火墙规则，结合nsx distributed firewall实现微分段策略。部署流量镜像到Security Onion分析异常协议特征，例如非标准端口出现的NFS流量或异常的VMkernel日志条目。

4. 安全日志聚合：配置ESXi syslog定向至SIEM系统(如QRadar)，设置CIM提供程序实时采集Hostd、vpxa日志。建立关联分析规则，例如同一IP在5分钟内出现3次失败SSH登录尝试即触发工单。

5. 设备白名单机制：通过vSphere Trust Authority实现硬件信任链验证，对vSAN存储控制器实施Secure Boot验证。在UEFI层面部署TPM 2.0模块，确保ESXi启动过程中所有加载的驱动均经过数字签名验证。

实践挑战：

• 第三方备份软件常要求临时开放NFC端口，需建立审批流程与临时端口开放自动化机制
• 硬件供应商OEM定制驱动可能导致安全扫描误报，需维护HCL兼容性数据库白名单
• 恶意USB设备可伪装成HID键盘注入指令，物理安全需配合机柜电子锁系统联动
• 跨vCenter迁移时防火墙策略继承存在版本兼容问题，需预先制定标准化迁移模板

1. 配置ESXi防火墙策略

   • 通过vSphere Client进入ESXi主机 → 配置 → 系统 → 防火墙，仅启用必要服务（如vSphere Client、SSH等），禁用无关端口。
   • 使用命令行 esxcli network firewall ruleset list 检查当前开放的规则，通过 esxcli network firewall ruleset set --ruleset-id=<服务名> --enabled=false 关闭冗余服务。

2. 限制管理接口访问

   • 在ESXi管理网络设置中，通过vCenter或主机CLI配置IP过滤（如 /etc/vmware/firewall/service.xml），仅允许特定IP段访问管理端口（如443、902）。

3. 启用远程日志监控

   • 在ESXi高级设置（Advanced System Settings）中配置 Syslog.global.logHost 指向远程Syslog服务器（如 udp://<IP>:514）。
   • 使用SIEM工具（如Splunk）分析日志，设置警报规则（如频繁登录失败、非常规端口访问）。

4. 审计物理设备接入

   • 通过ESXi Host Client → 管理 → 硬件 → USB设备，禁用未授权的USB控制器，或使用 esxcli hardware usb passthrough 命令移除设备。
   • 定期检查 /var/log/vmkernel.log 中的设备连接记录。

5. 实时网络流量监控

   • 部署vRealize Network Insight，监控ESXi主机的网络流量，识别异常连接（如非信任IP的vMotion流量）。
   • 使用命令行 esxcli network ip connection list 查看活动连接，排查可疑会话。

6. 定期安全加固与更新

   • 遵循VMware安全加固指南，通过vCenter或CLI执行配置基线检查（如 esxcli system settings advanced list）。
   • 定期应用ESXi补丁，使用 esxcli software vib update 命令更新组件。

首先把ESXi的防火墙打开，只留必要的端口（比如管理端口），其他全关掉。管理网络单独隔离，别直接暴露在公网。定期检查系统日志，或者用日志监控工具盯着异常登录。USB之类的物理设备访问权限要锁死，别让外人随便插。系统及时打补丁，权限分配严格点，别谁都给管理员。最后可以定期用端口扫描工具自查，看有没有不该开的端口露在外面。