Mit den Funktionen für eine identitätsbasierte Firewall (IDFW) haben NSX-Administratoren die Möglichkeit, DFW-Regeln anhand der Active Directory-Benutzer zu erstellen.

Eine IDFW kann für virtuelle Desktops (VDI) oder Remote-Desktop-Sitzungen (RDSH-Unterstützung) verwendet werden. Dies ermöglicht eine gleichzeitige Anmeldung mehrerer Benutzer, einen Benutzerzugriff auf Anwendungen basierend auf Anforderungen sowie die Beibehaltung unabhängiger Benutzerumgebungen. VDI-Verwaltungssysteme steuern, welchen Benutzern Zugriff auf die virtuellen VDI-Maschinen gewährt wird. NSX-T steuert den Zugriff auf die Zielserver von der virtuellen Quellmaschine (VM), für die IDFW aktiviert ist. Erstellen Sie mit RDSH-Administratoren Sicherheitsgruppen mit verschiedenen Benutzern in Active Directory (AD) und gewähren oder verweigern Sie diesen Benutzern basierend auf ihrer Rolle den Zugriff auf einen Anwendungsserver. Beispielsweise können sich Personal- und Konstruktionsabteilung mit demselben RDSH-Server verbinden und von diesem Server aus auf verschiedene Anwendungen zugreifen.

IDFW kann auch auf VMs verwendet werden, die über unterstützte Betriebssysteme verfügen. Siehe Von der identitätsbasierten Firewall unterstützte Konfigurationen.

Ein Überblick auf oberster Ebene über den Workflow der IDFW-Konfiguration beginnt mit der Vorbereitung der Infrastruktur. Zur Vorbereitung gehört die Installation der Hostvorbereitungskomponenten in jedem geschützten Cluster durch den Administrator und die Einrichtung der Active Directory-Synchronisierung, damit NSX AD-Benutzer und -Gruppen verwenden kann. Als Nächstes muss IDFW wissen, bei welchem Desktop sich ein Active Directory-Benutzer anmeldet, um die IDFW-Regeln anzuwenden. Wenn Netzwerkereignisse von einem Benutzer generiert werden, erfasst der mit VMware Tools auf der VM installierte Thin Agent die Informationen und leitet sie an die Kontext-Engine weiter. Diese Informationen werden verwendet, um die Erzwingung für die verteilte Firewall bereitzustellen.

IDFW verarbeitet die Benutzeridentität an der Quelle nur in Regeln für verteilte Firewalls. Identitätsbasierte Gruppen können in DFW-Regeln nicht als Ziel verwendet werden.

Hinweis: IDFW vertraut auf die Sicherheit und Integrität des Gastbetriebssystems. Ein lokaler Administrator mit böswilligen Absichten hat mehrere Möglichkeiten, die Identität zu manipulieren und die Firewallregeln zu umgehen. Benutzeridentitätsinformationen werden vom NSX Guest Introspection Agent innerhalb der Gast-VMs bereitgestellt. Sicherheitsadministratoren müssen sicherstellen, dass Thin Agent auf jeder Gast-VM installiert ist und ausgeführt wird. Angemeldete Benutzer sollten nicht über die Berechtigung zum Entfernen oder Beenden des Agents verfügen.

Informationen zu unterstützten IDFW-Konfigurationen finden Sie unter Von der identitätsbasierten Firewall unterstützte Konfigurationen.

Workflow der IDFW:
  1. Ein Benutzer meldet sich bei einer VM an und startet eine Netzwerkverbindung, indem er Skype oder Outlook öffnet.
  2. Der Thin Agent erfasst ein Benutzeranmeldeereignis. Er erfasst die Verbindungsinformationen und Identitätsinformationen und sendet sie an die Kontext-Engine.
  3. Die Kontext-Engine leitet die Verbindungs- und Identitätsinformationen zur Erzwingung etwaiger anwendbarer Regeln an die verteilte Firewall weiter.