通过使用身份防火墙功能,NSX 管理员可以创建基于 Active Directory 用户的 DFW 规则。
IDFW 配置工作流简要概述首先介绍了基础架构准备。这包括管理员在每个保护的群集上安装主机准备组件和设置 Active Directory 同步,以便 NSX 可以使用 AD 用户和组。接下来,IDFW 必须知道 Active Directory (AD) 用户登录到的桌面才能应用 DFW 规则。IDFW 使用两种方法进行登录检测:Guest Introspection (GI) 和/或 Active Directory 事件日志采集器。Guest Introspection 部署在运行 IDFW 虚拟机的 ESXi 群集上。在用户生成网络事件时,在虚拟机上安装的客户机代理将信息通过 Guest Introspection 框架转发到 NSX Manager。第二种方法是使用 Active Directory 事件日志采集器。请在 NSX Manager 中配置 Active Directory 事件日志采集器以指向一个 Active Directory 域控制器实例。然后,NSX Manager 从 AD 安全事件日志中提取事件。您可以在环境中同时使用这两种方法,或者使用其中的一种方法。如果同时使用 AD 日志采集器和 Guest Introspection,将优先使用 Guest Introspection。请注意,如果同时使用 AD 事件日志采集器和 Guest Introspection,它们是相互排斥的:如果其中的一个组件停止工作,另一个组件不会作为备用组件开始工作。
在准备基础架构后,管理员创建 NSX 安全组并添加新的可用 AD 组(称为目录组)。然后,管理员可以创建具有关联的防火墙规则的安全策略,并将这些策略应用于新创建的安全组。现在,在用户登录到桌面时,系统将检测该事件以及使用的 IP 地址,查找与该用户关联的防火墙策略,然后向下推送这些规则。这适用于物理桌面和虚拟桌面。对于物理桌面,还需要使用 AD 事件日志采集器来检测用户是否登录到物理桌面。
身份防火墙可用于通过远程桌面会话 (RDSH) 进行的微分段,从而允许多个用户同时登录,根据要求访问用户应用程序并且能够保持独立的用户环境。具有远程桌面会话的身份防火墙需要 Active Directory。
有关支持的 Windows 操作系统,请参见身份防火墙已测试并支持的配置。请注意,身份防火墙不支持基于 Linux 的操作系统。