IDFW 允许基于用户身份的防火墙规则,从而对传统防火墙进行了增强。例如,管理员可以允许或禁止客户支持人员通过单个防火墙策略访问 HR 数据库。
基于身份的防火墙规则是由 Active Directory (AD) 组成员的成员资格确定的。请参见身份防火墙支持的配置。
IDFW 仅在防火墙规则中处理源中的用户身份。基于身份的组不能用作防火墙规则中的目标。
注: 对于身份防火墙规则实施,应为所有使用 Active Directory 的虚拟机
开启 Windows 时间服务。这会确保在 Active Directory 和虚拟机之间同步日期和时间。AD 组成员资格变化(包括启用和删除用户)不会立即对登录的用户生效。要使更改生效,用户必须注销,然后重新登录。在修改组成员资格时,AD 管理员应强制注销。此行为是 Active Directory 存在的一个限制。
前提条件
如果在虚拟机上启用了 Windows 自动登录,请转到计算机启动和登录时总是等待网络。
,然后启用有关支持的 IDFW 配置,请参见身份防火墙支持的配置。