通过使用身份防火墙 (Identity Firewall, IDFW) 功能,NSX 管理员可以创建基于 Active Directory 用户的分布式防火墙 (DFW) 规则。
IDFW 可用于虚拟桌面 (VDI) 或远程桌面会话(RDSH 支持),从而允许多个用户同时登录,根据要求访问用户应用程序并且能够保持独立的用户环境。VDI 管理系统控制向哪些用户授予对 VDI 虚拟机的访问权限。NSX-T 从启用了 IDFW 的源虚拟机 (Virtual Machine, VM) 控制对目标服务器的访问。使用 RDSH,管理员在 Active Directory (AD) 中创建具有不同用户的安全组,并根据角色允许或拒绝这些用户访问应用程序服务器。例如,人力资源和工程部门可以连接到同一个 RDSH 服务器,并且可以访问该服务器中的不同应用程序。
IDFW 还可在具有受支持操作系统的虚拟机上使用。请参见身份防火墙支持的配置。
IDFW 配置工作流简要概述首先介绍了基础架构准备。准备工作包括管理员在每个保护的集群上安装主机准备组件和设置 Active Directory 同步,以便 NSX 可以使用 AD 用户和组。接下来,IDFW 必须知道 Active Directory 用户登录到的桌面并应用 IDFW 规则。当用户生成网络事件时,在虚拟机上随 VMware Tools 一起安装的 Thin Agent 将收集和转发该信息,并将该信息发送到上下文引擎。该信息用于提供分布式防火墙的实施。
IDFW 仅在分布式防火墙规则中处理源中的用户身份。基于身份的组不能用作 DFW 规则中的目标。
注: IDFW 依赖于客户机操作系统的安全性和完整性。恶意本地管理员可以通过多种方法来伪造其身份以绕过防火墙规则。用户身份信息由客户机虚拟机中的 NSX Guest Introspection Thin Agent 提供。安全管理员必须确保已在每个客户机虚拟机中安装并运行 Thin Agent。已登录的用户不应具有移除或停止该代理的特权。
有关支持的 IDFW 配置,请参见身份防火墙支持的配置。
IDFW 工作流:
- 用户通过打开 Skype 或 Outlook 登录到虚拟机并启动网络连接。
- Thin Agent 将检测用户登录事件,它会收集连接信息和身份信息,并将该信息发送到上下文引擎。
- 上下文引擎将该连接和身份信息转发到分布式防火墙规则,以实施任何适用的规则。