身份防火墙支持基于 Active Directory 用户组配置分布式防火墙规则。
身份防火墙支持基于 Active Directory 用户组配置分布式防火墙规则。 在源中处理用户上下文。IDFW 必须知道 Active Directory 用户登录到的虚拟桌面,才能应用防火墙规则。用户身份可用作防火墙规则中的源,而不是目标。登录检测方法有两种:
- 客户机侦测 (GI)
- 事件日志抓取
使用客户机侦测配置阻止规则
- 启用身份防火墙。转到 。
- 启用 IDFW 后,可以选择在特定集群或所有独立主机上启用 IDFW。在此示例中,我们将在计算集群上启用 IDFW。
- 导航到 以添加 Active Directory 域。将在防火墙规则的源字段中使用 AD 中的用户或组。
- 导航到添加组,以创建一个组。在此示例中,我们将创建一个名为开发人员的组,组中的成员来自 AD 组。将在防火墙规则的源字段中使用该组。 并单击
- 创建 IDFW 策略,以阻止属于“开发人员”AD 组的用户的 SSH 流量。规则定义:如果<“开发人员”AD 组中的任意用户>访问 <TCP 22 / SSH 上的任意目标>,都将遭到拒绝。创建一个将开发人员组作为源且操作为拒绝的防火墙规则。
规则名称 源 目标 服务 上下文配置文件 应用对象 操作 阻止开发人员的 SSH 开发人员 任意 SSH DFW 拒绝
使用客户机侦测配置允许规则
- 启用身份防火墙。转到 。
- 启用 IDFW 后,可以选择在特定集群或所有独立主机上启用 IDFW。在此示例中,我们将在计算集群上启用 IDFW。
- 导航到 以添加 Active Directory 域。将在防火墙规则的源字段中使用 AD 中的用户或组。
- 导航到添加组,以创建一个组。在此示例中,我们将创建一个名为 NSX 的组,其中包含 Active Directory 组成员。将在防火墙规则的源字段中使用该组。 并单击
- 根据虚拟机名称条件,创建一个名为 Web 的动态安全组。
- 创建两个防火墙规则:一个规则允许某个用户组的流量流向目标,另一个规则阻止所有其他用户的流量流向同一目标。在下面的示例中,第一个规则名为“IDFW 规则”,它将组 NSX 作为源,并将防火墙规则应用于用户登录的虚拟机。此防火墙规则不会应用于组 Web 的成员,因为是在源中处理 IDFW 用户上下文。下面的第二个防火墙规则将丢弃来自所有其他源的用户。
规则名称 源 目标 服务 上下文配置文件 应用对象 操作 IDFW 规则 NSX Web HTTPS 无 user-vm-01 允许 全部拒绝 任意 任意 任意 无 user-vm-01 丢弃
使用事件日志抓取配置允许/拒绝规则
- 必备条件 - 首先应准备物理工作负载作为 NSX 传输节点。通过这种方法,我们可以将物理服务器作为 NSX 清单的一部分,在它成为 NSX 清单的一部分后,我们可以在 DFW 的“应用对象”字段中使用该物理服务器。请参见NSX 安装指南中的“准备物理服务器作为 NSX 传输节点”。
- 启用身份防火墙。转到 。
- 启用 IDFW 后,可以选择在特定集群或所有独立主机上启用 IDFW。在此示例中,我们将在计算集群上启用 IDFW。
- 导航到事件日志服务器。将在防火墙规则的源字段中使用 AD 中的用户或组。 以添加 Active Directory 域。向您的 IDFW Active Directory 配置
- 导航到 使用事件日志抓取时,请确保在所有设备上正确配置了 NTP。事件日志抓取为物理设备启用 IDFW。事件日志抓取可用于虚拟机,但客户机侦测优先于事件日志抓取。
- 导航到添加组,以创建一个组。将在防火墙规则的源字段中使用该组。 并单击
- 根据虚拟机名称条件,创建一个名为 Web 的动态安全组。
- 创建两个防火墙规则:一个规则允许某个用户组的流量流向目标,另一个规则阻止所有其他用户的流量流向同一目标。在下面的示例中,第一个规则名为“IDFW 规则”,它将组 NSX 作为源,并将防火墙规则应用于用户登录的 JS-Physical。此防火墙规则不会应用于组 Web 的成员,因为是在源中处理 IDFW 用户上下文。下面的第二个防火墙规则将丢弃来自所有其他源的用户。
规则名称 源 目标 服务 上下文配置文件 应用对象 操作 IDFW 规则 NSX Web HTTPS 无 JS-Physical 允许 全部拒绝 任意 任意 无 无 JS-Physical 丢弃