VMware安全从我做起，vCenter和Esxi端口加固建议方案

最新推荐文章于 2025-03-15 13:50:04 发布

虚拟化爱好者

最新推荐文章于 2025-03-15 13:50:04 发布

阅读量1.5k

点赞数 24

分类专栏： VMware 文章标签： VMware ESXi vCenter vSphere 云桌面虚拟化

本文链接：https://blog.youkuaiyun.com/Hum0rp/article/details/144201823

版权

哈喽大家好，欢迎来到虚拟化时代君（XNHCYL），收不到通知请将我点击星标！“ 大家好，我是虚拟化时代君，一位潜心于互联网的技术宅男。这里每天为你分享各种你感兴趣的技术、教程、软件、资源、福利…（每天更新不间断，福利不见不散）

第一章、引言

最近私信比较频繁，很多兄弟们想要 VMware vCenter 和 ESXi 常见高危端口的修改方法，以及安全加固措施。今天粗略整理一些，望大家指正！

以下端口本人手工整理，如有不对请指正，或者可自行根据下方的参考官网链接进行查找。

端口号	协议	描述
443	TCP	vCenter Server 的 HTTPS 端口，供 vSphere Client 和 API 访问。
80	TCP	HTTP 端口，通常用于重定向到 HTTPS。
5480	TCP	vCenter Server Appliance (VCSA) 的管理界面。
5432	TCP	vCenter Server 的 PostgreSQL 数据库端口。
636	TCP	LDAP 的安全端口，用于与 Active Directory 进行安全通信。
389	TCP	LDAP 的非安全端口。
4433	TCP	vSphere Replication 的管理端口。
8443	TCP	vSphere Client (HTML5) 的备用端口。
27000	TCP	VMware License Server 端口。
27010	TCP	VMware License Server 的备用端口。

端口号	协议	描述
443	TCP	ESXi 主机的 HTTPS 管理访问端口，用于 vSphere Client 和 Web UI。
80	TCP	用于 HTTP 访问，通常会重定向到 HTTPS。
22	TCP	SSH 端口，用于远程命令行访问。
902	TCP/UDP	VMkernel 端口，用于 ESXi 管理和虚拟机数据传输。
903	TCP	用于 VM 控制台的访问。
2049	TCP	NFS 服务端口（用于 NFS 存储）。
5480	TCP	仅适用于 VCSA，ESXi 管理界面不使用此端口。

参考网址：

https://knowledge.broadcom.com/external/article/318895/port-requirements-for-vmware-vsphere-esx.html

https://ports.broadcom.com/home/vSphere

https://knowledge.broadcom.com/external/article/304715

https://docs.vmware.com/cn/vSphere-Replication/9.0/security-guide/GUID-1A748B29-A140-48D6-B3AF-F20937503213.html

修改 vCenter Server Appliance（vCSA）的 HTTPS 端口（443端口）：通过以下步骤可以修改 vCSA 的端口（例如修改 443 到 8443）。

# 登录到 vCSA
ssh root@<vcenter-appliance-ip>
# 编辑防火墙配置文件
vi /etc/vmware/vpx/vpxd.cfg
# 查找并修改端口配置

service-control --stop --all
service-control --start --all

- 登录到 vCenter Appliance 管理界面，访问 https://<vcenter-appliance-ip>:5480，输入 root 用户名和密码。
- 在左侧选择 Networking -> Firewall，找到 HTTPS 服务并修改端口号。
- 修改 443 为你希望的端口号（例如 8443）。
- 修改完后，重启 vCenter 服务：