通过使用身份防火墙 (Identity Firewall, IDFW) 功能,NSX 管理员可以创建基于 Active Directory 用户的分布式防火墙 (DFW) 规则。

IDFW 可用于虚拟桌面 (VDI) 或远程桌面会话(RDSH 支持),从而允许多个用户同时登录,根据要求访问用户应用程序并且能够保持独立的用户环境。VDI 管理系统控制向哪些用户授予对 VDI 虚拟机的访问权限。NSX-T 从启用了 IDFW 的源虚拟机 (Virtual Machine, VM) 控制对目标服务器的访问。使用 RDSH,管理员在 Active Directory (AD) 中创建具有不同用户的安全组,并根据角色允许或拒绝这些用户访问应用程序服务器。例如,人力资源和工程部门可以连接到同一个 RDSH 服务器,并且可以访问该服务器中的不同应用程序。

IDFW 还可在具有受支持操作系统的虚拟机上使用。请参见身份防火墙支持的配置

IDFW 配置工作流简要概述首先介绍了基础架构准备。准备工作包括管理员在每个保护的集群上安装主机准备组件和设置 Active Directory 同步,以便 NSX 可以使用 AD 用户和组。接下来,IDFW 必须知道 Active Directory 用户登录到的桌面才能应用 IDFW 规则。当用户生成网络事件时,在虚拟机上随 VMware Tools 一起安装的 Thin Agent 将收集和转发该信息,并将该信息发送到上下文引擎。该信息用于提供分布式防火墙的实施。

IDFW 仅在分布式防火墙规则中处理源中的用户身份。基于身份的组不能用作 DFW 规则中的目标。

注: IDFW 依赖于客户机操作系统的安全性和完整性。恶意本地管理员可以通过多种方法来伪造其身份以绕过防火墙规则。用户身份信息由客户机虚拟机中的 NSX Guest Introspection Thin Agent 提供。安全管理员必须确保已在每个客户机虚拟机中安装并运行 Thin Agent。已登录的用户不应具有移除或停止该代理的特权。

有关支持的 IDFW 配置,请参见身份防火墙支持的配置

IDFW 工作流:
  1. 用户通过打开 Skype 或 Outlook 登录到虚拟机并启动网络连接。
  2. Thin Agent 将检测用户登录事件,它会收集连接信息和身份信息,并将该信息发送到上下文引擎。
  3. 上下文引擎将该连接和身份信息转发到分布式防火墙实施任何适用的规则。