身份防火墙 (IDFW) 允许使用基于用户的分布式防火墙规则 (DFW)。

基于用户的分布式防火墙规则是由 Active Directory (AD) 组成员的成员资格确定的。IDFW 可监控 AD 用户登录到的位置,并将登录位置映射到一个 IP 地址,DFW 使用该地址应用防火墙规则。身份防火墙需要使用 Guest Introspection 框架或 Active Directory 事件日志提取。您可以在环境中同时使用这两种方法,或者使用其中的一种方法。如果同时使用 AD 日志采集器和 Guest Introspection,将优先使用 Guest Introspection。请注意,如果同时使用 AD 事件日志采集器和 Guest Introspection,它们是相互排斥的:如果其中的一个组件停止工作,另一个组件不会作为备用组件开始工作。

对于使用 RDSH 身份防火墙规则的登录用户,AD 组成员资格更改不会立即生效,这包括启用和禁用用户以及删除用户。要使更改生效,用户必须注销,然后重新登录。在修改组成员资格时,我们建议 AD 管理员强制注销。此行为是 Active Directory 存在的一个限制。

IDFW 的北向流量:
  1. 用户登录到虚拟机。
  2. NSX 管理层面接收用户登录事件。
  3. NSX 管理层面查找用户并接收用户所属的所有 Active Directory (AD) 组。然后,NSX 管理层面为所有受影响的 AD 组发送组修改事件。
  4. 对于每个 Active Directory 组,将对包含该 AD 组的所有安全组 (Security Group, SG) 进行标记,并在队列中添加一个处理此更改的作业。由于单个 SG 可以包含多个 Active Directory 组,因此单个用户登录事件通常会触发针对同一 SG 的多个处理事件。要解决此问题,请移除重复的安全组处理请求。

IDFW 的南向流量:

  1. 收到安全组处理请求。在修改 SG 时,NSX 会根据 IDFW 规则更新所有受影响的实体并触发相应操作。
  2. NSX 接收 SG 的所有 Active Directory 组。
  3. NSX 从 Active Directory 中接收属于 AD 组的所有用户。
  4. 将 Active Directory 用户与其 IP 地址相关联。
  5. 将 IP 地址映射到 vNIC,然后将 vNIC 映射到虚拟机 (VM)。生成的虚拟机列表就是安全组到虚拟机的转换结果。
注:

仅 Windows Server 2016、具有 VMware Tools 10.2.5 和更高版本的 Windows 2012 以及具有 VMware Tools 10.2.5 和更高版本的 Windows 2012 R2 支持 RDSH 身份防火墙。

过程

  1. 在 NSX 中配置 Active Directory 同步;请参见将 Windows 域与 Active Directory 同步。需要使用该功能以在服务编排中使用 Active Directory 组。
  2. 为 DFW 准备 ESXi 群集。请参见NSX 安装指南中的“为 NSX 准备主机群集”。
  3. 配置身份防火墙登录检测选项。必须配置其中的一个或两个选项。
    注: 如果具有多域 AD 架构,并且由于安全限制而无法访问日志采集器,请使用 Guest Introspection 生成登录和注销事件。