Identitätsbasierte Firewall

Es gibt mehrere Komponenten, die bei der Behebung von Fehlern mit der identitätsbasierten Firewall untersucht werden können.

Problem

Die Veröffentlichung oder die Aktualisierung der Regeln einer identitätsbasierten Firewall schlägt fehl.

Ursache

Die identitätsbasierte Firewall (IDFW) ermöglicht die Verwendung von benutzerbasierten Regeln für die verteilte Firewall (Distributed Firewall, DFW).

Benutzerbasierte Regeln für die verteilte Firewall werden von der Mitgliedschaft in einer Active Directory-Gruppe bestimmt. IDFW prüft, wo Active Directory-Benutzer angemeldet sind, und ordnet die Anmeldungen jeweils einer IP-Adresse zu, die von der verteilten Firewall zur Anwendung der Firewallregeln verwendet wird. Die identitätsbasierte Firewall erfordert entweder ein Guest Introspection-Framework und/oder Active Directory Event Log Scraper.

Lösung

Stellen Sie sicher, dass die vollständige oder inkrementelle Synchronisierung des Active Directory-Servers bei NSX Manager funktioniert.
1. Melden Sie im vSphere Web Client bei dem mit dem NSX Managerverknüpften vCenter an.
2. Navigieren Sie zu Startseite (Home) > Netzwerk und Sicherheit (Networking & Security) > System > Benutzer und Domänen (Users and Domains).
3. Klicken Sie auf die Registerkarte Domains und wählen Sie NSX Manager im Dropdown-Menü aus.
4. Wählen Sie Ihre Domäne aus der Liste aus. Stellen Sie sicher, dass in der Spalte Letzter Synchronisierungsstatus (Last Synchronization Status) der Eintrag SUCCESS (ERFOLG) angezeigt wird und unter Letzte Synchronisierungszeit (Last Synchronization Time) die entsprechende Uhrzeit enthalten ist.
Wenn Ihre Firewallumgebung die Methode des Ereignisprotokoll-Scraping für die Erkennung der Anmeldung verwendet, führen Sie die folgenden Schritte durch, um sicherzustellen, dass für Ihre Domäne ein Ereignisprotokoll-Server konfiguriert ist:
1. Melden Sie im vSphere Web Client bei dem mit dem NSX Managerverknüpften vCenter an.
2. Navigieren Sie zu Startseite (Home) > Netzwerk und Sicherheit (Networking & Security) > System > Benutzer und Domänen (Users and Domains).
3. Klicken Sie auf die Registerkarte Domains und wählen Sie NSX Manager im Dropdown-Menü aus.
4. Wählen Sie Ihre Domäne aus der Liste aus. Hier können Sie die Domänenkonfiguration im Detail überprüfen und bearbeiten.
5. Wählen Sie Ereignisprotokoll-Server (Event Log Servers) aus den Domänendetails aus und prüfen Sie, ob Ihr Ereignisprotokoll-Server hinzugefügt wurde.
6. Wählen Sie Ihren Ereignisprotokoll-Server aus und stellen Sie sicher, dass in der Spalte Letzter Synchronisierungsstatus (Last Sync Status) der Eintrag SUCCESS (ERFOLG) angezeigt wird und unter Uhrzeit der letzten Synchronisierung (Last Sync Time) die entsprechende Uhrzeit.
Wenn Ihre Firewallumgebung Guest Introspection verwendet, muss das Framework auf den Computerclustern bereitgestellt werden, auf denen sich Ihre IDFW-geschützten virtuellen Maschinen befinden. Der Systemzustand des Dienstes muss in der Benutzeroberfläche als grün angezeigt werden. Guest Introspection-Diagnose und Protokollinformationen finden Sie unter Fehlerbehebung bei Guest Introspection.

Nach der Prüfung der Konfiguration Ihrer Methode zur Erkennung der Anmeldung stellen Sie sicher, dass NSX Manager Anmeldeereignisse empfängt.

Melden Sie sich als Active Directory-Benutzer an.

Führen Sie den im Folgenden aufgeführten Befehl zur Abfrage von Anmeldeereignissen aus. Stellen Sie sicher, dass Ihr Benutzer in den Ergebnissen zurückgegeben wird. GET https://<nsxmgr-ip>/1.0/identity/userIpMapping.

Example output:
<UserIpMappings>
    <UserIpMapping>
        <ip>50.1.111.192</ip>
        <userName>user1_group20</userName>
        <displayName>user1_group20</displayName>
        <domainName>cd.ad1.db.com</domainName>
        <startTime class="sql-timestamp">2017-05-11 22:30:51.0</startTime>
        <startType>EVENTLOG</startType>
        <lastSeenTime class="sql-timestamp">2017-05-11 22:30:52.0</lastSeenTime>
        <lastSeenType>EVENTLOG</lastSeenType>
    </UserIpMapping>
</UserIpMappings>

Stellen Sie sicher, dass Ihre Sicherheitsgruppe in einer Firewallregel verwendet wird oder über eine zugewiesene Sicherheitsrichtlinie verfügt. Die Sicherheitsgruppe wird in IDFW erst verarbeitet, wenn eine der im Folgenden aufgeführten Bedingungen zutrifft.
Nach der Prüfung, ob IDFW Anmeldungen korrekt erkennt, stellen Sie sicher, dass der ESXi-Host mit Ihrer Desktop-VM die korrekte Konfiguration erhält. Für diese Schritte wird die zentrale NSX Manager-CLI verwendet. Um die IP-Adresse der Desktop-VM in der Liste ip-securitygroup zu prüfen, führen Sie folgende Schritte durch:
1. Unter CLI-Befehle für DFW (Distributed Firewall, verteilte Firewall) finden Sie Erläuterungen zum Abrufen des für die Desktop-VM angewendeten Filternamens.
2. Führen Sie den Befehl show dfw host hostID filter filterID rules aus, um die Elemente der ermittelten Regeln für die verteilte Firewall anzuzeigen.
3. Führen Sie den Befehl show dfw host hostID filter filterID addrsets aus, um die IP-Adressen in der Liste ip-securitygroup anzuzeigen. Stellen Sie sicher, dass Ihre IP-Adresse in der Liste enthalten ist.

Lösung

Hinweis: Für die Fehlerbehebung bei einer identitätsbasierten Firewall mithilfe des technischen Supports von VMware sind folgende Daten hilfreich:

Bei Verwendung des Ereignisprotokoll-Scraping Angaben zum Umfang in Active Directory:
- Anzahl der Domänen für einen einzelnen NSX Manager
  Anzahl der Gesamtstrukturen
  Anzahl der Benutzer pro Gesamtstruktur
  Anzahl der Benutzer pro Domäne
  Anzahl der Active Directory-Gruppen pro Domäne
  Anzahl der Benutzer pro Active Directory-Gruppe
  Anzahl von Active Directory pro Benutzer
  Anzahl der Domänen-Controller
  Anzahl der Active Directory-Protokollserver

Angaben zum Umfang der Benutzeranmeldung:
- Durchschnittliche Anzahl der Benutzer pro Minute

Bereitstellungsdetails mithilfe von IDFW mit VDI:
- Anzahl der VDI-Desktops pro VC
  Anzahl der Hosts pro VC
  Anzahl der VDI-Desktops pro Host

Bei Verwendung von Guest Introspection:
- Version von VMware Tools (Guest Introspection-Treiber)
  Version des Windows-Gastbetriebssystems