IDFW 允许基于用户身份的防火墙规则,从而对传统防火墙进行了增强。例如,管理员可以允许或禁止客户支持人员通过单个防火墙策略访问 HR 数据库。

基于身份的防火墙规则是由 Active Directory (AD) 组成员的成员资格确定的。请参见身份防火墙支持的配置

注: 身份防火墙规则不支持 SMB 协议。无法根据 IDFW 规则筛选 CIFS/SMB 流量。应使用分布式防火墙规则保护此流量。

IDFW 仅在分布式防火墙规则中处理源中的用户身份。基于身份的组不能用作 DFW 规则中的目标。

注: 对于身份防火墙规则实施,应为所有使用 Active Directory 的虚拟机 开启 Windows 时间服务。这会确保在 Active Directory 和虚拟机之间同步日期和时间。AD 组成员资格变化(包括启用和删除用户)不会立即对登录的用户生效。要使更改生效,用户必须注销,然后重新登录。在修改组成员资格时,AD 管理员应强制注销。此行为是 Active Directory 存在的一个限制。

前提条件

如果在虚拟机上启用了 Windows 自动登录,请转到本地计算机策略 > 计算机配置 > 管理模板 > 系统 > 登录,然后启用计算机启动和登录时总是等待网络

有关支持的 IDFW 配置,请参见身份防火墙支持的配置

过程

  1. 启用 NSX 文件侦测驱动程序和 NSX 网络侦测驱动程序。默认情况下,执行 VMware Tools 完全安装时会添加这些驱动程序。
  2. 在集群或独立主机上启用 IDFW:启用身份防火墙
  3. 配置 Active Directory 域:添加 Active Directory
  4. 配置 Active Directory 同步操作:同步 Active Directory
  5. 创建包含 Active Directory 组成员的安全组 (SG):添加组
  6. 将包含 AD 组成员的 SG 分配给分布式防火墙规则:添加分布式防火墙