通过使用身份防火墙 (Identity Firewall, IDFW) 功能,NSX 管理员可以创建基于 Active Directory 用户的分布式防火墙 (DFW) 规则。

IDFW 可用于虚拟桌面 (VDI)、远程桌面会话(RDSH 支持)和物理机,从而允许多个用户同时登录,根据要求访问用户应用程序并且能够保持独立的用户环境。VDI 管理系统控制向哪些用户授予对 VDI 虚拟机的访问权限。NSX 从启用了 IDFW 的源虚拟机 (Virtual Machine, VM) 控制对目标服务器的访问。使用 RDSH,管理员在 Active Directory (AD) 中创建具有不同用户的安全组,并根据角色允许或拒绝这些用户访问应用程序服务器。例如,人力资源和工程部门可以连接到同一个 RDSH 服务器,并且可以访问该服务器中的不同应用程序。

IDFW 必须知道 Active Directory (AD) 用户登录到的桌面才能应用防火墙规则。IDFW 使用两种方法进行登录检测:客户机侦测 (GI) 和/或事件日志抓取。客户机侦测部署在运行 IDFW 虚拟机的 ESXi 集群上。在用户生成网络事件时,在虚拟机上安装的客户机代理将信息通过客户机侦测框架转发到 NSX Manager。第二种方法是使用 Active Directory 事件日志采集器。事件日志抓取为物理设备启用 IDFW。在NSX Manager中配置Active Directory事件日志采集器,以指向Active Directory域控制器的实例。然后,NSX Manager将从 AD 安全事件日志中提取事件。

事件日志抓取可用于虚拟机,但在同时使用 AD 日志采集器和客户机侦测时,客户机侦测将优先于事件日志抓取。客户机侦测通过 VMware Tools 启用,如果您使用的是 VMware Tools 完整安装和 IDFW,客户机侦测将优先于事件日志抓取。

IDFW 还可在具有受支持操作系统的虚拟机上使用。请参见身份防火墙支持的配置

IDFW 仅在防火墙规则中处理源中的用户身份。只有源自处理用户身份的源的流量才会受 IDFW 规则限制。基于身份的组不能用作防火墙规则中的目标。

注: IDFW 依赖于客户机操作系统的安全性和完整性。恶意本地管理员可以通过多种方法来伪造其身份以绕过防火墙规则。用户身份信息由客户机虚拟机中的 NSX Guest Introspection Thin Agent 提供。安全管理员必须确保已在每个客户机虚拟机中安装并运行 Thin Agent。已登录的用户不应具有移除或停止该代理的特权。

基于身份的防火墙规则是由 Active Directory (AD) 组成员的成员资格确定的。必须同时将具有 AD 用户的 OU 以及具有该用户所在的 AD 组的 OU 添加到“要同步的组织单位”中,IDFW 规则才能正常工作。有关支持的 IDFW 配置和协议,请参见 身份防火墙支持的配置

联合环境中的全局管理器不支持 IDFW 规则。在联合站点中,通过在本地管理器上创建 IDFW 规则,仍然可以在本地使用 IDFW。

IDFW 策略组和 DFW 规则匹配逻辑

IDFW 策略组可以分为两种:
  • 只包含 AD 组作为策略组成员的同类组。
  • 既包含 AD 组还包含其他成员的异构组,例如虚拟机和 IP 地址。
基于同类身份组的安全规则会将该规则应用于属于 AD 组的 AD 用户登录到的所有 NSX 支持的虚拟机。对于异构身份组,它们能够为 IDFW 安全策略创建更具体、更精确的源,而不是广泛适用的源。当属于成员 AD 组的 AD 用户登录时,在源中使用异构身份组的安全规则将仅应用于属于策略组的虚拟机(以静态方式或通过动态条件或通过 IP 地址/范围分配)。该规则是属于组成员的虚拟机与目标 AD 用户登录到的虚拟机的交集(AND 运算)。

可以使用以下逻辑找出异构身份策略组的有效成员:[所有非 AD 成员的并集] AND,即与 [属于成员 AD 组的 AD 用户登录到的虚拟机集] 的交集。

示例 1 - 静态虚拟机成员与 AD 组成员。
  • 意向:将几个虚拟机与 AD 组静态配对时,意向是在属于 AD 组的 AD 用户登录到静态虚拟机成员时将策略应用于这些成员。
  • 不适用的源示例:属于某个成员 AD 组的 AD 用户登录到但并非策略组静态成员的虚拟机。属于策略组静态成员但已登录用户属于 AD 组(而非策略组成员)的虚拟机。
示例 2 - 基于动态名称的虚拟机条件与 AD 组成员。
  • 意向:在特定 AD 用户登录到名称符合条件的虚拟机时,仅将安全策略应用于这些虚拟机。
  • 不适用的源示例:AD 用户登录到但不符合名称条件的虚拟机。符合名称条件但已登录用户不属于某个成员 AD 组的虚拟机。