通过使用身份防火墙 (Identity Firewall, IDFW) 功能,NSX 管理员可以创建基于 Active Directory 用户的分布式防火墙 (DFW) 规则。

IDFW 可用于虚拟桌面 (VDI)、远程桌面会话(RDSH 支持)和物理机,从而允许多个用户同时登录,根据要求访问用户应用程序并且能够保持独立的用户环境。VDI 管理系统控制向哪些用户授予对 VDI 虚拟机的访问权限。NSX 从启用了 IDFW 的源虚拟机 (Virtual Machine, VM) 控制对目标服务器的访问。使用 RDSH,管理员在 Active Directory (AD) 中创建具有不同用户的安全组,并根据角色允许或拒绝这些用户访问应用程序服务器。例如,人力资源和工程部门可以连接到同一个 RDSH 服务器,并且可以访问该服务器中的不同应用程序。

IDFW 必须知道 Active Directory (AD) 用户登录到的桌面才能应用防火墙规则。IDFW 使用两种方法进行登录检测:客户机侦测 (GI) 和/或事件日志抓取。客户机侦测部署在运行 IDFW 虚拟机的 ESXi 集群上。在用户生成网络事件时,在虚拟机上安装的客户机代理将信息通过客户机侦测框架转发到 NSX Manager。第二种方法是使用 Active Directory 事件日志采集器。事件日志抓取为物理设备启用 IDFW。在NSX Manager中配置Active Directory事件日志采集器,以指向Active Directory域控制器的实例。然后,NSX Manager将从 AD 安全事件日志中提取事件。

事件日志抓取可用于虚拟机,但在同时使用 AD 日志采集器和客户机侦测时,客户机侦测将优先于事件日志抓取。客户机侦测通过 VMware Tools 启用,如果您使用的是 VMware Tools 完整安装和 IDFW,客户机侦测将优先于事件日志抓取。

IDFW 还可在具有受支持操作系统的虚拟机上使用。请参见身份防火墙支持的配置

IDFW 仅在防火墙规则中处理源中的用户身份。基于身份的组不能用作分布式防火墙和网关防火墙规则中的目标。

注: IDFW 依赖于客户机操作系统的安全性和完整性。恶意本地管理员可以通过多种方法来伪造其身份以绕过防火墙规则。用户身份信息由客户机虚拟机中的 NSX Guest Introspection Thin Agent 提供。安全管理员必须确保已在每个客户机虚拟机中安装并运行 Thin Agent。已登录的用户不应具有移除或停止该代理的特权。

有关支持的 IDFW 配置,请参见身份防火墙支持的配置

请注意,联合环境中的全局管理器不支持 IDFW 规则。在联合站点中,通过在本地管理器上创建 IDFW 规则,仍然可以在本地使用 IDFW。