Die identitätsbasierte Firewall (IDFW) ermöglicht die Verwendung von benutzerbasierten Regeln für die verteilte Firewall (Distributed Firewall, DFW).

Benutzerbasierte Regeln für die verteilte Firewall werden von der Mitgliedschaft in einer Active Directory-Gruppe bestimmt. Die IDFW prüft, wo Active Directory-Benutzer angemeldet sind, und ordnet die Anmeldungen jeweils einer IP-Adresse zu, die von der verteilten Firewall zur Anwendung der Firewallregeln verwendet wird. Die identitätsbasierte Firewall erfordert entweder ein Guest Introspection-Framework oder Active Directory Event Log Scraping. Sie können beide oder eine von beiden Methoden in Ihrer Umgebung verwenden. Wenn sowohl Active Directory Log Scraper als auch Guest Introspection verwendet wird, hat Guest Introspection Vorrang. Beachten Sie, dass wenn sowohl der AD Event Log Scraper als auch Guest Introspection eingesetzt wird, beide voneinander abhängig sind: Wenn ein Modul nicht mehr funktioniert, stellt das andere kein Backup dafür dar.

Änderungen der AD-Gruppenmitgliedschaft haben unmittelbar keine Auswirkungen für angemeldete Benutzer, die RDSH-Identitäts-Firewallregeln verwenden. Dies betrifft auch das Aktiveren und Deaktivieren von Benutzern sowie das Löschen von Benutzern. Damit die Änderungen wirksam werden, müssen sich die Benutzer abmelden und erneut anmelden. Es wird empfohlen, dass AD-Administratoren eine Abmeldung erzwingen, wenn die Gruppenmitgliedschaft geändert wird. Dieses Verhalten ist eine Beschränkung von Active Directory.

Northbound Flow von IDFW:
  1. Ein Benutzer meldet sich bei einer virtuellen Maschine an.
  2. Auf der NSX-Verwaltungsebene wird ein Benutzeranmeldeereignis empfangen.
  3. Auf der NSX-Verwaltungsebene wird der Benutzer überprüft und es werden alle Active Directory (AD)-Gruppen empfangen, zu denen der Benutzer gehört. Anschließend sendet die NSX-Verwaltungsebene Gruppenänderungsereignisse für alle betroffenen AD-Gruppen.
  4. Für jede Active Directory-Gruppe werden alle Sicherheitsgruppen (SG), einschließlich dieser AD-Gruppe, markiert und der Warteschlange wird ein Auftrag zum Verarbeiten dieser Änderung hinzugefügt. Da eine einzelne SG mehrere Active Directory-Gruppen enthalten kann, löst eine einzelne Benutzeranmeldung oftmals mehrere Verarbeitungsereignisse für dieselbe SG aus. Um dies zu beheben, werden doppelte Sicherheitsgruppen-Verarbeitungsanforderungen entfernt.

Southbound-Flow von IDFW:

  1. Es wird eine Sicherheitsgruppen-Verarbeitungsanforderung empfangen. Beim Ändern einer SG aktualisiert NSX alle betroffenen Elemente und löst Aktionen gemäß IDFW-Regeln aus.
  2. NSX empfängt alle Active Directory-Gruppen für eine SG.
  3. Von Active Directory empfängt NSX alle Benutzer, die zu den AD-Gruppen gehören.
  4. Die Active Directory-Benutzer werden ihren IP-Adressen zugeordnet.
  5. Die IP-Adressen werden vNICs zugeordnet und anschließend werden die vNICs virtuellen Maschinen (VMs) zugeordnet. Die resultierende Liste der VMs ist das Ergebnis der Übertragung der Sicherheitsgruppe an die VM.
Hinweis:

Die identitätsbasierte Firewall für RDSH wird nur unter Windows Server 2016, Windows 2012 mit VMware Tools 10.2.5 und höher sowie unter Windows 2012 R2 mit VMware Tools 10.2.5 und höher unterstützt.

Prozedur

  1. Zur Konfiguration der Active Directory-Synchronisierung in NSX finden Sie Erläuterungen unter Synchronisieren einer Windows-Domäne mit Active Directory. Diese ist für die Verwendung von Active Directory-Gruppen in Service Composer erforderlich.
  2. Bereiten Sie den ESXi-Cluster für die DFW vor. Informationen dazu erhalten Sie unter „Vorbereiten des Host-Clusters für NSX“ in der Dokumentation Installationshandbuch für NSX.
  3. Konfigurieren Sie die Optionen zur Ermittlung der IDFW-Anmeldung. Eine oder beide der folgenden Optionen müssen konfiguriert werden.
    Hinweis: Wenn Sie über eine Active Directory-Architektur mit mehreren Domänen verfügen und Log Scraper aufgrund von Sicherheitsbeschränkungen nicht verfügbar ist, verwenden Sie Guest Introspection für die Erstellung von An- und Abmeldeereignissen.