Die identitätsbasierte Firewall (IDFW) ermöglicht die Verwendung von benutzerbasierten Firewallregeln (DFW).

Warum und wann dieser Vorgang ausgeführt wird

Benutzerbasierte Regeln für eine Distributed Firewall (DFW) werden von der Mitgliedschaft in einer Active Directory-Gruppe bestimmt. IDFW prüft, wo Active Directory-Benutzer angemeldet sind, und ordnet die Anmeldungen jeweils einer IP-Adresse zu, die von der DFW zur Anwendung der Firewallregeln verwendet wird. Die identitätsbasierte Firewall erfordert entweder ein Guest Introspection-Framework oder Active Directory Event Log Scraping.

Prozedur

  1. Zur Konfiguration der Active Directory-Synchronisierung in NSX finden Sie Erläuterungen unter Synchronisieren einer Windows-Domäne mit Active Directory. Diese ist für die Verwendung von Active Directory-Gruppen in Service Composer erforderlich.
  2. Bereiten Sie den ESXi-Cluster für die DFW vor. Informationen dazu erhalten Sie unter „Vorbereiten des Host-Clusters für NSX“ in der Dokumentation Installationshandbuch für NSX.
  3. Konfigurieren Sie die Optionen zur Ermittlung der IDFW-Anmeldung. Eine oder beide der folgenden Optionen müssen konfiguriert werden.
    Anmerkung:

    Wenn Sie über eine Active Directory-Architektur mit mehreren Domänen verfügen und Log Scraper aufgrund von Sicherheitsbeschränkungen nicht verfügbar ist, verwenden Sie Guest Introspection für die Erstellung von An- und Abmeldeereignissen.