身份防火墙 (IDFW) 允许使用基于用户的分布式防火墙规则 (DFW)。

关于此任务

基于用户的分布式防火墙规则是由 Active Directory (AD) 组成员的成员资格确定的。IDFW 监控 Active Directory 用户登录到的位置,并将登录名映射到一个 IP 地址,DFW 使用该地址以应用防火墙规则。身份防火墙需要使用 Guest Introspection 框架或 Active Directory 事件日志提取。

过程

  1. 在 NSX 中配置 Active Directory 同步;请参见将 Windows 域与 Active Directory 同步。需要使用该功能以在服务编排中使用 Active Directory 组。
  2. 为 DFW 准备 ESXi 群集。请参见NSX 安装指南中的“为 NSX 准备主机群集”。
  3. 配置身份防火墙登录检测选项。必须配置其中的一个或两个选项。
    注:

    如果具有多域 AD 架构,并且由于安全限制而无法访问日志采集器,请使用 Guest Introspection 生成登录和注销事件。