Mit den Funktionen für eine identitätsbasierte Firewall haben NSX-Administratoren die Möglichkeit, benutzerspezifische DFW-Regeln für Active Directory zu erstellen.
Ein Überblick auf oberster Ebene über den Workflow der IDFW-Konfiguration beginnt mit der Vorbereitung der Infrastruktur. Dazu gehört die Installation der Komponenten der Hostvorbereitung in jedem geschützten Cluster durch den Administrator und die Einrichtung der Active Directory-Synchronisierung, damit NSX AD-Benutzer und -Gruppen verwenden kann. Als Nächstes muss IDFW wissen, bei welchem Desktop sich ein Active Directory(AD)-Benutzer anmeldet, um die DFW-Regeln zuzuweisen. Für IDFW stehen zwei Methoden zur Erkennung der Anmeldung zur Verfügung: Guest Introspection (GI) und/oder Active Directory Event Log Scraper. Guest Introspection wird für ESXi-Cluster bereitgestellt, auf denen virtuelle IDFW-Maschinen ausgeführt werden. Wenn durch einen Benutzer Netzwerkereignisse generiert werden, leitet ein in der VM installierter Gastagent die Informationen über das Guest Introspection-Framework an den NSX Manager weiter. Die zweite Option ist der Active Directory Event Log Scraper. Konfigurieren Sie den Active Directory Event Log Scraper im NSX Manager so, dass auf eine Instanz in Ihrem Active Directory-Domänen-Controller verwiesen wird. NSX Manager übernimmt dann die Ereignisse aus dem AD-Sicherheitsereignisprotokoll. Sie können beide oder eine von beiden Methoden in Ihrer Umgebung verwenden. Wenn sowohl Active Directory Log Scraper als auch Guest Introspection verwendet wird, hat Guest Introspection Vorrang. Beachten Sie, dass wenn sowohl der AD Event Log Scraper als auch Guest Introspection eingesetzt wird, beide voneinander abhängig sind: Wenn ein Modul nicht mehr funktioniert, stellt das andere kein Backup dafür dar.
Nach der Vorbereitung der Infrastruktur erstellt der Administrator NSX-Sicherheitsgruppen (Security Groups) und fügt die neu verfügbaren AD-Gruppen hinzu (als „Verzeichnisgruppen“ bezeichnet). Der Administrator kann dann Sicherheitsrichtlinien mit zugeordneten Firewallregeln erstellen und diese Richtlinien auf die neu erstellten Sicherheitsgruppen anwenden. Wenn sich jetzt ein Benutzer bei einem Desktop anmeldet, ermittelt das System das Ereignis sowie die verwendete IP-Adresse, sucht die Firewallrichtlinie, die diesem Benutzer zugeordnet ist, und überträgt diese Regeln. Dies gilt für physische wie für virtuelle Desktops. Für physische Desktops wird der AD Event Log Scraper auch für die Ermittlung benötigt, ob ein Benutzer bei einem physischen Desktop angemeldet ist.
Eine identitätsbasierte Firewall kann für die Mikrosegmentierung mit Remote-Desktop-Sitzungen (RDSH) verwendet werden. Dies ermöglicht eine gleichzeitige Anmeldung mehrerer Benutzer, einen Benutzerzugriff auf Anwendungen basierend auf Anforderungen sowie die Beibehaltung unabhängiger Benutzerumgebungen. Für eine identitätsbasierte Firewall mit Remote-Desktop-Sitzungen ist Active Directory erforderlich.
Unterstützte Windows-Betriebssysteme finden Sie unter Für die identitätsbasierte Firewall getestete und unterstützte Konfigurationen. Beachten Sie, dass Linux-basierte Betriebssysteme die identitätsbasierte Firewall nicht unterstützen.