Die identitätsbasierte Firewall ermöglicht die Konfiguration von Regeln für verteilte Firewalls basierend auf Active Directory-Benutzergruppen.
Die identitätsbasierte Firewall ermöglicht die Konfiguration von Regeln für verteilte Firewalls basierend auf Active Directory-Benutzergruppen. Der Benutzerkontext wird an der Quelle verarbeitet. Um die Firewallregeln zuzuweisen, muss IDFW wissen, bei welchem virtuellen Desktop sich ein Active Directory-Benutzer anmeldet. Die Benutzeridentität kann als Quelle in Firewallregeln verwendet werden, jedoch nicht als Ziel. Es gibt zwei Methoden zur Erkennung der Anmeldung:
- Guest Introspection (GI)
- Ereignisprotokoll-Scraping
Blockierregelkonfiguration mit Guest Introspection
- Identitätsbasierte Firewall aktivieren. Navigieren Sie zu .
- Sobald IDFW aktiviert ist, können Sie sie über bestimmte Cluster oder über alle eigenständigen Hosts aktivieren. In diesem Beispiel wird IDFW auf dem Computing-Cluster aktiviert.
- Fügen Sie eine Active Directory-Domäne hinzu, indem Sie zu navigieren. Die Benutzer oder Gruppen aus dem AD werden im Quellfeld einer Firewallregel verwendet.
- Erstellen Sie eine Gruppe, indem Sie zu navigieren und auf Gruppe hinzufügen klicken. In diesem Beispiel erstellen wir eine Gruppe mit dem Namen Developers mit Mitgliedern aus der AD-Gruppe. Diese Gruppe wird im Quellfeld der Firewallregel verwendet.
- Erstellen Sie eine IDFW-Richtlinie, um SSH-Datenverkehr für Benutzer zu blockieren, die zur AD-Gruppe „Developer“ gehören. Regeldefinition: Wenn <Benutzer in der AD-Gruppe „Developer“> auf <ein beliebiges Ziel über TCP 22/SSH> zugreifen, wird dies abgelehnt. Erstellen Sie eine Firewallregel mit der Developer-Gruppe als Quelle und der Aktion Ablehnen.
Regelname Quelle Ziel Dienste Kontextprofile Angewendet auf Aktion SSH für „Developer“ blockieren Developer Beliebig SSH DFW Ablehnen
Zulassungsregelkonfiguration mit Guest Introspection
- Identitätsbasierte Firewall aktivieren. Navigieren Sie zu .
- Sobald IDFW aktiviert ist, können Sie sie über bestimmte Cluster oder über alle eigenständigen Hosts aktivieren. In diesem Beispiel wird IDFW auf dem Computing-Cluster aktiviert.
- Fügen Sie eine Active Directory-Domäne hinzu, indem Sie zu navigieren. Die Benutzer oder Gruppen aus dem AD werden im Quellfeld einer Firewallregel verwendet.
- Erstellen Sie eine Gruppe, indem Sie zu navigieren und auf Gruppe hinzufügen klicken. In diesem Beispiel erstellen wir eine Gruppe namens NSX mit Active Directory-Gruppenmitgliedern. Diese Gruppe wird im Quellfeld der Firewallregel verwendet.
- Erstellen Sie eine dynamische Sicherheitsgruppe mit dem Namen „Web“ basierend auf VM-Namenskriterien.
- Erstellen Sie zwei Firewallregeln: eine, die Datenverkehr von einer Benutzergruppe zu einem Ziel zulässt, und eine, die alle anderen Benutzer für dasselbe Ziel blockiert. Im folgenden Beispiel enthält die erste Regel mit dem Namen „IDFW Rule“ die Gruppe „NSX“ als Quelle, wobei die Firewallregel auf die VM angewendet wird, auf der sich die Benutzer anmelden. Diese Firewallregel wird nicht auf die Mitglieder der Gruppe „Web“ angewendet, da der IDFW-Benutzerkontext an der Quelle verarbeitet wird. Die zweite Firewallregel unten entfernt Benutzer aus allen anderen Quellen.
Regelname Quelle Ziel Dienste Kontextprofile Angewendet auf Aktion IDFW Rule NSX Web HTTPS Keine user-vm-01 Zulassen Alles verweigern Beliebig Beliebig Beliebig Keine user-vm-01 Verwerfen
Zulassungs/Blockierregelkonfiguration mit Ereignisprotokoll-Scraping
- Voraussetzung – Die physische Arbeitslast sollte zuerst als NSX-Transportknoten vorbereitet werden. Mit diesem Ansatz können wir einen physischen Server zu einem Teil der NSX-Bestandsliste machen. Sobald er Teil der NSX-Bestandsliste ist, können wir ihn im Feld „Angewendet auf“ von DFW verwenden. Weitere Informationen finden Sie unter „Vorbereiten von physischen Servern als NSX-Transportknoten“ (Preparing Physical Servers as NSX Transport Nodes) im Installationshandbuch für NSX.
- Identitätsbasierte Firewall aktivieren. Navigieren Sie zu .
- Sobald IDFW aktiviert ist, können Sie sie über bestimmte Cluster oder über alle eigenständigen Hosts aktivieren. In diesem Beispiel wird IDFW auf dem Computing-Cluster aktiviert.
- Fügen Sie eine Active Directory-Domäne hinzu, indem Sie zu navigieren. Konfigurieren Sie einen Ereignisprotokollserver für Ihr IDFW Active Directory. Die Benutzer oder Gruppen aus dem AD werden im Quellfeld einer Firewallregel verwendet.
- Aktivieren Sie das Ereignisprotokoll-Scraping, indem Sie zu Stellen Sie bei Verwendung des Ereignisprotokoll-Scrapings sicher, dass NTP auf allen Geräten ordnungsgemäß konfiguriert ist. Ereignisprotokoll-Scraping aktiviert IDFW für physische Geräte. Ereignisprotokoll-Scraping kann für virtuelle Maschinen verwendet werden, Guest Introspection hat jedoch Vorrang vor dem Ereignisprotokoll-Scraping.
- Erstellen Sie eine Gruppe, indem Sie zu navigieren und auf Gruppe hinzufügen klicken. Diese Gruppe wird im Quellfeld der Firewallregel verwendet.
- Erstellen Sie eine dynamische Sicherheitsgruppe mit dem Namen „Web“ basierend auf VM-Namenskriterien.
- Erstellen Sie zwei Firewallregeln: eine, die Datenverkehr von einer Benutzergruppe zu einem Ziel zulässt, und eine, die alle anderen Benutzer für dasselbe Ziel blockiert. Im folgenden Beispiel enthält die erste Regel mit dem Namen „IDFW Rule“ die Gruppe „NSX“ als Quelle, wobei die Firewallregel auf die physische JS angewendet wird, auf der sich die Benutzer anmelden. Diese Firewallregel wird nicht auf die Mitglieder der Gruppe „Web“ angewendet, da der IDFW-Benutzerkontext an der Quelle verarbeitet wird. Die zweite Firewallregel unten entfernt Benutzer aus allen anderen Quellen.
Regelname Quelle Ziel Dienste Kontextprofile Angewendet auf Aktion IDFW Rule NSX Web HTTPS Keine Physische JS Zulassen Alles verweigern Beliebig Beliebig Keine Keine Physische JS Verwerfen
