Eine verteilte Firewall überwacht den gesamten Ost-West-Datenverkehr auf Ihren virtuellen Maschinen.
Voraussetzungen
Um DFW-geschützt zu sein, muss die vNIC von VMs mit einem NSX-Overlay oder VLAN-Segment verbunden sein.
Wenn Sie Regeln für die identitätsbasierte Firewall erstellen, müssen Sie zuerst eine Gruppe mit Active Directory-Mitgliedern erstellen. Informationen zu den für IDFW unterstützten Protokollen finden Sie unter
Von der identitätsbasierten Firewall unterstützte Konfigurationen.
Hinweis: Zur Erzwingung der identitätsbasierten Firewallregel sollte für den Windows-Zeitdienst
ein für alle VMs festgelegt sein, die Active Directory verwenden. Dadurch wird sichergestellt, dass Datum und Uhrzeit zwischen Active Directory und VMs synchronisiert werden. Änderungen der AD-Gruppenmitgliedschaft, einschließlich der Aktivierung und Löschung von Benutzern, werden nicht sofort für angemeldete Benutzer wirksam. Damit die Änderungen wirksam werden, müssen sich die Benutzer abmelden und erneut anmelden. AD-Administratoren sollten eine Abmeldung erzwingen, wenn die Gruppenmitgliedschaft geändert wird. Dieses Verhalten ist eine Beschränkung von Active Directory.
Beachten Sie, dass Sie bei Verwendung einer Kombination aus Ebene 7 und ICMP oder anderen Protokollen die Firewallregeln der Ebene 7 zuletzt einfügen müssen. Regeln über einer Schicht 7-„any/any“-Regel werden nicht ausgeführt.
Verbundspezifische Details zur Richtlinien und Regelerstellung für verteilte Firewalls finden Sie unter Erstellen von DFW-Richtlinien und -Regeln in Globaler Manager.