分布式防火墙会监控虚拟机上的所有东西向流量。
前提条件
要受 DFW 保护,虚拟机的 vNIC 必须连接到 NSX 覆盖网络或 VLAN 分段。
如果您要为身份防火墙创建规则,首先创建一个具有 Active Directory 成员的组。要查看 IDFW 支持的协议,请参见
身份防火墙支持的配置。
注: 对于身份防火墙规则实施,应为所有使用 Active Directory 的虚拟机
开启 Windows 时间服务。这会确保在 Active Directory 和虚拟机之间同步日期和时间。AD 组成员资格变化(包括启用和删除用户)不会立即对登录的用户生效。要使更改生效,用户必须注销,然后重新登录。在修改组成员资格时,AD 管理员应强制注销。此行为是 Active Directory 存在的一个限制。
请注意,如果您结合使用第 7 层和 ICMP 或者任何其他协议,则需要最后放置第 7 层防火墙规则。将不会执行排在第 7 层任意/任意规则之后的任何规则。
要了解有关分布式防火墙策略和规则创建的特定于联合的详细信息,请参见从全局管理器创建 DFW 策略和规则。