Ao executar o ESXi, um firewall de hardware para o servidor host protegerá todos os convidados virtuais?

Lembre-se de que, se você tiver mais de uma sub-rede em sua rede (que é bastante comum mesmo para pequenas), seu host ESX (i) terá um IP de gerenciamento em um deles, mas suas VMs convidadas serão espalhe por eles dependendo de suas necessidades; Portanto, colocar um firewall na frente da conexão de gerenciamento do host não defenderá as VMs convidadas.

Isso significa que sua pergunta só faz sentido se você tiver uma única rede onde residem o host e os convidados; neste caso, depende da sua configuração e necessidades; ter um firewall em cada máquina oferece mais flexibilidade, e ter um firewall global na frente de todos oferece duas camadas de defesa.

Defesa em profundidade, meu amigo. É minha política proteger meus hosts e VMs com um dispositivo de firewall dedicado (firewall de hardware é uma espécie de nome impróprio), bem como firewalls de host em execução em cada VM (iptables ou firewall avançado do Windows).

"Melhor Prática" é ter um firewall organizacional e também firewalls baseados em host.

No entanto, se você configurar o firewall de hardware corretamente na frente dos servidores ESXi, ele deverá funcionar bem para proteção externa sem firewalls baseados em host (guest). Sua vulnerabilidade nessa instância será o tráfego de servidor para servidor sendo totalmente aberto.