IDFW 允许基于用户身份的防火墙规则,从而对传统防火墙进行了增强。例如,管理员可以允许或禁止客户支持人员通过单个防火墙策略访问 HR 数据库。

基于身份的防火墙规则是由 Active Directory (AD) 组成员的成员资格确定的。请注意,必须同时将具有 AD 用户的 OU 以及具有该用户所在的 AD 组的 OU 添加到“要同步的组织单位”中,IDFW 规则才能正常工作。请参见身份防火墙支持的配置

IDFW 仅在防火墙规则中处理源中的用户身份。只有源自处理用户身份的源的流量才会受 IDFW 规则限制。基于身份的组不能用作防火墙规则中的目标。

注: 对于身份防火墙规则实施,应为所有使用 Active Directory 的虚拟机 开启 Windows 时间服务。这会确保在 Active Directory 和虚拟机之间同步日期和时间。AD 组成员资格变化(包括启用和删除用户)不会立即对登录的用户生效。要使更改生效,用户必须注销,然后重新登录。在修改组成员资格时,AD 管理员应强制注销。此行为是 Active Directory 存在的一个限制。

前提条件

如果在虚拟机上启用了 Windows 自动登录,请转到本地计算机策略 > 计算机配置 > 管理模板 > 系统 > 登录,然后启用计算机启动和登录时总是等待网络

有关支持的 IDFW 配置,请参见身份防火墙支持的配置

过程

  1. 启用 NSX 文件侦测驱动程序和 NSX 网络侦测驱动程序(默认情况下,VMware Tools 完整安装会添加这些驱动程序)或事件日志抓取。请参见身份防火墙事件日志源

    事件日志抓取为物理设备启用 IDFW。事件日志抓取可用于虚拟机,但客户机侦测优先于事件日志抓取。客户机侦测通过 VMware Tools 启用,如果您使用的是 VMware Tools 完整安装和 IDFW,客户机侦测将优先于事件日志抓取。

  2. 在 DFW 和 GFW 上启用身份防火墙
  3. 配置 Active Directory(必需)和事件日志抓取(可选)配置 Active Directory 和事件日志提取
  4. 配置 Active Directory 同步操作:同步 Active Directory
  5. 创建包含 Active Directory 组成员的组:添加组
  6. 将包含 AD 组成员的组分配给分布式防火墙规则或网关防火墙规则。如果使用客户机侦测创建 DFW 规则,请确保应用对象字段应用于目标组:添加分布式防火墙字段应是基于 AD 的组。
    对于允许流量从一组用户流向某个目标的每个身份防火墙规则,必须存在相应的分布式防火墙规则或网关防火墙规则,以允许流量从一组计算机流向身份防火墙规则中指定的相同目标。计算机组将指定身份防火墙规则中的用户要登录到的计算机。

    配置身份防火墙时,最佳做法是创建一个规则来阻止流量从所有用户流向某个目标,并创建另一个规则来允许流量从特定用户组流向相同目标。