Mit den Funktionen für eine identitätsbasierte Firewall (IDFW) haben NSX-Administratoren die Möglichkeit, DFW-Regeln anhand der Active Directory-Benutzer zu erstellen.

Eine IDFW kann für virtuelle Desktops (VDI) oder Remotedesktopsitzungen (RDSH-Unterstützung) und physische Computer verwendet werden. Dies ermöglicht eine gleichzeitige Anmeldung mehrerer Benutzer für den bedarfsbasierten Benutzerzugriff auf Anwendungen sowie die Beibehaltung unabhängiger Benutzerumgebungen. VDI-Verwaltungssysteme steuern, welchen Benutzern Zugriff auf die virtuellen VDI-Maschinen gewährt wird. NSX-T steuert den Zugriff auf die Zielserver von der virtuellen Quellmaschine (VM), für die IDFW aktiviert ist. Erstellen Sie mit RDSH-Administratoren Sicherheitsgruppen mit verschiedenen Benutzern in Active Directory (AD) und gewähren oder verweigern Sie diesen Benutzern basierend auf ihrer Rolle den Zugriff auf einen Anwendungsserver. Beispielsweise können sich Personal- und Konstruktionsabteilung mit demselben RDSH-Server verbinden und von diesem Server aus auf verschiedene Anwendungen zugreifen.

Um die Firewallregeln zuzuweisen, muss IDFW wissen, bei welchem Desktop sich ein Active Directory(AD)-Benutzer anmeldet. Für die Erkennung der Anmeldung verwendet IDFW zwei Verfahren: Guest Introspection (GI) und/oder Ereignisprotokoll-Scraping. Guest Introspection wird auf ESXi-Clustern bereitgestellt, auf denen virtuelle IDFW-Maschinen ausgeführt werden. Wenn Netzwerkereignisse von einem Benutzer generiert werden, leitet ein auf der VM installierter Gast-Agent die Informationen über das Guest Introspection-Framework an die NSX Manager weiter. Die zweite Option ist der Active Directory Event Log Scraper. Ereignisprotokoll-Scraping aktiviert IDFW für physische Geräte. Konfigurieren Sie den Active Directory Event Log Scraper im NSX Manager so, dass auf eine Instanz in Ihrem Active Directory-Domänencontroller verwiesen wird. NSX Manager übernimmt dann die Ereignisse aus dem AD-Sicherheitsereignisprotokoll.

Ereignisprotokoll-Scraping kann für virtuelle Maschinen verwendet werden. Wenn jedoch sowohl der AD Event Log Scraper als auch Guest Introspection verwendet werden, hat Guest Introspection Vorrang vor dem Ereignisprotokoll-Scraping. Guest Introspection wird über VMware Tools aktiviert. Wenn Sie die vollständige VMware Tools-Installation und IDFW verwenden, hat Guest Introspection Vorrang vor dem Ereignisprotokoll-Scraping. Hinweis: Wenn sowohl der AD Event Log Scraper als auch Guest Introspection eingesetzt wird, sind beide voneinander abhängig: Wenn ein Modul nicht mehr funktioniert, stellt das andere kein Backup dafür dar.

IDFW kann auch auf VMs verwendet werden, die über unterstützte Betriebssysteme verfügen. Siehe Von der identitätsbasierten Firewall unterstützte Konfigurationen.

IDFW verarbeitet die Benutzeridentität an der Quelle nur in Firewallregeln. Identitätsbasierte Gruppen können nicht als Ziel in Firewallregeln verwendet werden.

Hinweis: IDFW vertraut auf die Sicherheit und Integrität des Gastbetriebssystems. Ein lokaler Administrator mit böswilligen Absichten hat mehrere Möglichkeiten, die Identität zu manipulieren und die Firewallregeln zu umgehen. Benutzeridentitätsinformationen werden vom NSX Guest Introspection Agent innerhalb der Gast-VMs bereitgestellt. Sicherheitsadministratoren müssen sicherstellen, dass Thin Agent auf jeder Gast-VM installiert ist und ausgeführt wird. Angemeldete Benutzer sollten nicht über die Berechtigung zum Entfernen oder Beenden des Agents verfügen.

Informationen zu unterstützten IDFW-Konfigurationen finden Sie unter Von der identitätsbasierten Firewall unterstützte Konfigurationen.