通过使用身份防火墙功能,NSX 管理员可以创建基于 Active Directory 用户的 DFW 规则。

IDFW 配置工作流简要概述首先介绍了基础架构准备。这包括管理员在每个保护的群集上安装主机准备组件和设置 Active Directory 同步,以便 NSX 可以使用 AD 用户和组。接下来,IDFW 必须知道 Active Directory 用户登录到的桌面才能应用 DFW 规则。IDFW 可以使用两种方法进行登录检测:Guest Introspection 和/或 Active Directory 事件日志采集器。Guest Introspection 部署在运行 IDFW 虚拟机的 ESXi 群集上。在用户生成网络事件时,在虚拟机上安装的客户机代理将信息通过 Guest Introspection 框架转发到 NSX Manager。第二种方法是使用 Active Directory 事件日志采集器。请在 NSX Manager 中配置 Active Directory 事件日志采集器以指向一个 Active Directory 域控制器实例。然后,NSX Manager 从 AD 安全事件日志中提取事件。您可以在环境中同时使用这两种方法,或者使用其中的一种方法。请注意,如果同时使用 AD 事件日志采集器和 Guest Introspection,它们是相互排斥的:如果其中的一个组件停止工作,另一个组件不会作为备用组件开始工作。

在准备基础架构后,管理员创建 NSX 安全组并添加新的可用 AD 组(称为目录组)。然后,管理员可以创建具有关联的防火墙规则的安全策略,并将这些策略应用于新创建的安全组。现在,在用户登录到桌面时,系统将检测该事件以及使用的 IP 地址,查找与该用户关联的防火墙策略,然后向下推送这些规则。这适用于物理桌面和虚拟桌面。对于物理桌面,还需要使用 AD 事件日志采集器以检测用户是否登录到物理桌面。

IDFW 支持的操作系统

AD 支持的服务器

  • Windows 2012

  • Windows 2008

  • Windows 2008 R2

支持的客户机操作系统

  • Windows 2012

  • Windows 2008

  • Windows 2008 R2

  • Windows 10

  • Windows 8 32/64

  • Windows 7 32/64