通过使用身份防火墙 (Identity Firewall, IDFW) 功能,NSX 管理员可以创建基于 Active Directory 用户的分布式防火墙 (DFW) 规则。
IDFW 可用于虚拟桌面 (VDI)、远程桌面会话(RDSH 支持)和物理机,从而允许多个用户同时登录,根据要求访问用户应用程序并且能够保持独立的用户环境。VDI 管理系统控制向哪些用户授予对 VDI 虚拟机的访问权限。NSX 从启用了 IDFW 的源虚拟机 (Virtual Machine, VM) 控制对目标服务器的访问。使用 RDSH,管理员在 Active Directory (AD) 中创建具有不同用户的安全组,并根据角色允许或拒绝这些用户访问应用程序服务器。例如,人力资源和工程部门可以连接到同一个 RDSH 服务器,并且可以访问该服务器中的不同应用程序。
IDFW 必须知道 Active Directory (AD) 用户登录到的桌面才能应用防火墙规则。IDFW 使用两种方法进行登录检测:客户机侦测 (GI) 和/或事件日志抓取。客户机侦测部署在运行 IDFW 虚拟机的 ESXi 集群上。在用户生成网络事件时,在虚拟机上安装的客户机代理将信息通过客户机侦测框架转发到 NSX Manager。第二种方法是使用 Active Directory 事件日志采集器。事件日志抓取为物理设备启用 IDFW。在NSX Manager中配置Active Directory事件日志采集器,以指向Active Directory域控制器的实例。然后,NSX Manager将从 AD 安全事件日志中提取事件。
事件日志抓取可用于虚拟机,但在同时使用 AD 日志采集器和客户机侦测时,客户机侦测将优先于事件日志抓取。客户机侦测通过 VMware Tools 启用,如果您使用的是 VMware Tools 完整安装和 IDFW,客户机侦测将优先于事件日志抓取。
IDFW 还可在具有受支持操作系统的虚拟机上使用。请参见身份防火墙支持的配置。
IDFW 仅在防火墙规则中处理源中的用户身份。只有源自处理用户身份的源的流量才会受 IDFW 规则限制。基于身份的组不能用作防火墙规则中的目标。
基于身份的防火墙规则是由 Active Directory (AD) 组成员的成员资格确定的。必须同时将具有 AD 用户的 OU 以及具有该用户所在的 AD 组的 OU 添加到“要同步的组织单位”中,IDFW 规则才能正常工作。有关支持的 IDFW 配置和协议,请参见 身份防火墙支持的配置。
联合环境中的全局管理器不支持 IDFW 规则。在联合站点中,通过在本地管理器上创建 IDFW 规则,仍然可以在本地使用 IDFW。
IDFW 策略组和 DFW 规则匹配逻辑
- 只包含 AD 组作为策略组成员的同类组。
- 既包含 AD 组还包含其他成员的异构组,例如虚拟机和 IP 地址。
可以使用以下逻辑找出异构身份策略组的有效成员:[所有非 AD 成员的并集] AND,即与 [属于成员 AD 组的 AD 用户登录到的虚拟机集] 的交集。
- 意向:将几个虚拟机与 AD 组静态配对时,意向是在属于 AD 组的 AD 用户登录到静态虚拟机成员时将策略应用于这些成员。
- 不适用的源示例:属于某个成员 AD 组的 AD 用户登录到但并非策略组静态成员的虚拟机。属于策略组静态成员但已登录用户属于 AD 组(而非策略组成员)的虚拟机。
- 意向:在特定 AD 用户登录到名称符合条件的虚拟机时,仅将安全策略应用于这些虚拟机。
- 不适用的源示例:AD 用户登录到但不符合名称条件的虚拟机。符合名称条件但已登录用户不属于某个成员 AD 组的虚拟机。