Mit den Funktionen für eine identitätsbasierte Firewall haben NSX-Administratoren die Möglichkeit, benutzerspezifische DFW-Regeln für Active Directory zu erstellen.

Ein Überblick auf oberster Ebene über den Workflow der IDFW-Konfiguration beginnt mit der Vorbereitung der Infrastruktur. Dazu gehört die Installation der Komponenten der Hostvorbereitung in jedem geschützten Cluster durch den Administrator und die Einrichtung der Active Directory-Synchronisierung, damit NSX AD-Benutzer und -Gruppen verwenden kann. Als Nächstes muss IDFW wissen, bei welchem Desktop sich ein Active Directory-Benutzer anmeldet, um die DFW-Regeln zuzuweisen. Für IDFW stehen zwei Methoden zur Erkennung der Anmeldung zur Verfügung: Guest Introspection und/oder der Active Directory Event Log Scraper. Guest Introspection wird für ESXi-Cluster bereitgestellt, auf denen virtuelle IDFW-Maschinen ausgeführt werden. Wenn durch einen Benutzer Netzwerkereignisse generiert werden, leitet ein in der VM installierter Gastagent die Informationen über das Guest Introspection-Framework an den NSX Manager weiter. Die zweite Option ist der Active Directory Event Log Scraper. Konfigurieren Sie den Active Directory Event Log Scraper im NSX Manager so, dass auf eine Instanz in Ihrem Active Directory-Domänen-Controller verwiesen wird. NSX Manager übernimmt dann die Ereignisse aus dem AD-Sicherheitsereignisprotokoll. Sie können beide oder eine von beiden Methoden in Ihrer Umgebung verwenden. Beachten Sie, dass wenn sowohl der AD Event Log Scraper als auch Guest Introspection eingesetzt wird, beide voneinander abhängig sind: Wenn ein Modul nicht mehr funktioniert, stellt das andere kein Backup dafür dar.

Nach der Vorbereitung der Infrastruktur erstellt der Administrator NSX-Sicherheitsgruppen (Security Groups) und fügt die neu verfügbaren AD-Gruppen hinzu (als „Verzeichnisgruppen“ bezeichnet). Der Administrator kann dann Sicherheitsrichtlinien mit zugeordneten Firewallregeln erstellen und diese Richtlinien auf die neu erstellten Sicherheitsgruppen anwenden. Wenn sich jetzt ein Benutzer bei einem Desktop anmeldet, ermittelt das System das Ereignis sowie die verwendete IP-Adresse, sucht die Firewallrichtlinie, die diesem Benutzer zugeordnet ist, und überträgt diese Regeln. Dies gilt für physische wie für virtuelle Desktops. Für physische Desktops wird der AD Event Log Scraper auch für die Ermittlung benötigt, ob ein Benutzer bei einem physischen Desktop angemeldet ist.

Betriebssystem-unterstützt mit IDFW

AD-unterstützte Server

  • Windows 2012

  • Windows 2008

  • Windows 2008 R2

Gastbetriebssystem-unterstützt

  • Windows 2012

  • Windows 2008

  • Windows 2008 R2

  • Windows 10

  • Windows 8 32/64

  • Windows 7 32/64