IDFW 允许基于用户身份的防火墙规则,从而对传统防火墙进行了增强。例如,管理员可以允许或禁止客户支持人员通过单个防火墙策略访问 HR 数据库。
基于身份的防火墙规则是由 Active Directory (AD) 组成员的成员资格确定的。请参见身份防火墙支持的配置。
注: 身份防火墙规则不支持 SMB 协议。无法根据 IDFW 规则筛选 CIFS/SMB 流量。应使用分布式防火墙规则保护此流量。
IDFW 仅在分布式防火墙规则中处理源中的用户身份。基于身份的组不能用作 DFW 规则中的目标。
注: 对于身份防火墙规则实施,应为所有使用 Active Directory 的虚拟机
开启 Windows 时间服务。这会确保在 Active Directory 和虚拟机之间同步日期和时间。AD 组成员资格变化(包括启用和删除用户)不会立即对登录的用户生效。要使更改生效,用户必须注销,然后重新登录。在修改组成员资格时,AD 管理员应强制注销。此行为是 Active Directory 存在的一个限制。
前提条件
如果在虚拟机上启用了 Windows 自动登录,请转到计算机启动和登录时总是等待网络。
,然后启用有关支持的 IDFW 配置,请参见身份防火墙支持的配置。
过程
- 启用 NSX 文件侦测驱动程序和 NSX 网络侦测驱动程序。默认情况下,执行 VMware Tools 完全安装时会添加这些驱动程序。
- 在集群或独立主机上启用 IDFW:启用身份防火墙。
- 配置 Active Directory 域:添加 Active Directory。
- 配置 Active Directory 同步操作:同步 Active Directory。
- 创建包含 Active Directory 组成员的安全组 (SG):添加组。
- 将包含 AD 组成员的 SG 分配给分布式防火墙规则:添加分布式防火墙。