Der Workflow für die identitätsbasierte Firewall erweitert herkömmliche Firewalls, indem Firewallregeln auf Basis der Benutzeridentität zugelassen werden. Administratoren können Mitarbeitern des Kundensupports beispielsweise erlauben, mit einer einzigen Firewallrichtlinie auf die HR-Datenbank zuzugreifen.

Identitätsbasierte Firewallregeln werden von der Mitgliedschaft in einer Active Directory (AD)-Gruppe bestimmt. Siehe Von der identitätsbasierten Firewall unterstützte Konfigurationen.

Hinweis: Das SMB-Protokoll wird mit identitätsbasierten Firewallregeln nicht unterstützt. Der CIFS/SMB-Datenverkehr kann nicht basierend auf IDFW-Regeln gefiltert werden. Dieser Datenverkehr muss mithilfe von Regeln für verteilte Firewalls gesichert werden.

IDFW verarbeitet die Benutzeridentität an der Quelle nur in Regeln für verteilte Firewalls. Identitätsbasierte Gruppen können in DFW-Regeln nicht als Ziel verwendet werden.

Hinweis: Zur Erzwingung der identitätsbasierten Firewallregel sollte für den Windows-Zeitdienst ein für alle VMs festgelegt sein, die Active Directory verwenden. Dadurch wird sichergestellt, dass Datum und Uhrzeit zwischen Active Directory und VMs synchronisiert werden. Änderungen der AD-Gruppenmitgliedschaft, einschließlich der Aktivierung und Löschung von Benutzern, werden nicht sofort für angemeldete Benutzer wirksam. Damit die Änderungen wirksam werden, müssen sich die Benutzer abmelden und erneut anmelden. AD-Administratoren sollten eine Abmeldung erzwingen, wenn die Gruppenmitgliedschaft geändert wird. Dieses Verhalten ist eine Beschränkung von Active Directory.

Voraussetzungen

Wenn die automatische Windows-Anmeldung auf VMs aktiviert ist, wechseln Sie zu Lokale Computerrichtlinie > Computerkonfiguration > Administrative Vorlagen > System > Anmeldung und aktivieren Sie die Option Beim Starten des Computers und Anmelden immer auf das Netzwerk warten.

Informationen zu unterstützten IDFW-Konfigurationen finden Sie unter Von der identitätsbasierten Firewall unterstützte Konfigurationen.

Prozedur

  1. Aktivieren des NSX-Datei-Introspektion- und des NSX-Netzwerk-Introspektion-Treibers Bei einer vollständigen Installation von VMware Tools werden folgende Standardwerte hinzugefügt.
  2. Aktivieren des Workflows für die identitätsbasierte Firewall auf einem Cluster oder eigenständigen Host: Identitätsbasierte Firewall aktivieren.
  3. Konfigurieren der Active Directory-Domäne: Hinzufügen von Active Directory.
  4. Konfigurieren von Active Directory-Synchronisierungsvorgängen: Synchronisieren von Active Directory.
  5. Erstellen von Sicherheitsgruppen (SG) mit Active Directory-Gruppenmitgliedern: Hinzufügen einer Gruppe.
  6. Zuweisen von Sicherheitsgruppen mit AD-Gruppenmitgliedern zu einer Regel für verteilte Firewalls: Hinzufügen einer verteilten Firewall.