Der Workflow für die identitätsbasierte Firewall erweitert herkömmliche Firewalls, indem Firewallregeln auf Basis der Benutzeridentität zugelassen werden. Administratoren können Mitarbeitern des Kundensupports beispielsweise erlauben, mit einer einzigen Firewallrichtlinie auf die HR-Datenbank zuzugreifen.

Identitätsbasierte Firewallregeln werden von der Mitgliedschaft in einer Active Directory (AD)-Gruppe bestimmt. Siehe Von der identitätsbasierten Firewall unterstützte Konfigurationen.

IDFW verarbeitet die Benutzeridentität an der Quelle nur in Firewallregeln. Identitätsbasierte Gruppen können nicht als Ziel in Firewallregeln verwendet werden.

Hinweis: Zur Erzwingung der identitätsbasierten Firewallregel sollte für den Windows-Zeitdienst ein für alle VMs festgelegt sein, die Active Directory verwenden. Dadurch wird sichergestellt, dass Datum und Uhrzeit zwischen Active Directory und VMs synchronisiert werden. Änderungen der AD-Gruppenmitgliedschaft, einschließlich der Aktivierung und Löschung von Benutzern, werden nicht sofort für angemeldete Benutzer wirksam. Damit die Änderungen wirksam werden, müssen sich die Benutzer abmelden und erneut anmelden. AD-Administratoren sollten eine Abmeldung erzwingen, wenn die Gruppenmitgliedschaft geändert wird. Dieses Verhalten ist eine Beschränkung von Active Directory.

Voraussetzungen

Wenn die automatische Windows-Anmeldung auf VMs aktiviert ist, wechseln Sie zu Lokale Computerrichtlinie > Computerkonfiguration > Administrative Vorlagen > System > Anmeldung und aktivieren Sie die Option Beim Starten des Computers und Anmelden immer auf das Netzwerk warten.

Informationen zu unterstützten IDFW-Konfigurationen finden Sie unter Von der identitätsbasierten Firewall unterstützte Konfigurationen.

Prozedur

  1. Aktivieren Sie den NSX Datei-Introspektion-Treiber und den NSX Netzwerk-Introspektion-Treiber (bei der vollständigen VMware Tools-Installation werden diese standardmäßig hinzugefügt) oder Ereignisprotokoll-Scraping. Siehe Ereignisprotokollquellen für identitätsbasierte Firewall.

    Ereignisprotokoll-Scraping aktiviert IDFW für physische Geräte. Ereignisprotokoll-Scraping kann für virtuelle Maschinen verwendet werden, Guest Introspection hat jedoch Vorrang vor dem Ereignisprotokoll-Scraping. Guest Introspection wird über VMware Tools aktiviert. Wenn Sie die vollständige VMware Tools-Installation und IDFW verwenden, hat Guest Introspection Vorrang vor dem Ereignisprotokoll-Scraping.

  2. Aktivieren der identitätsbasierten Firewall auf DFW und GFW.
  3. (optional): Konfigurieren von Active Directory und Ereignisprotokoll-Scraping.
  4. Konfigurieren von Active Directory-Synchronisierungsvorgängen: Synchronisieren von Active Directory.
  5. Erstellen von Sicherheitsgruppen (SG) mit Active Directory-Gruppenmitgliedern: Hinzufügen einer Gruppe.
  6. Weisen Sie eine Sicherheitsgruppe mit AD-Gruppenmitgliedern einer Regel für die verteilte Firewall oder einer Gateway-Firewallregel zu. Wenn Sie eine DFW-Regel mit Guest Introspection erstellen, müssen Sie darauf achten, dass das Feld Angewendet auf für die Zielgruppe gilt: Hinzufügen einer verteilten Firewall. Das Feld Quelle sollte eine AD-basierte Gruppe sein.