Der Workflow für die identitätsbasierte Firewall erweitert herkömmliche Firewalls, indem Firewallregeln auf Basis der Benutzeridentität zugelassen werden. Administratoren können Mitarbeitern des Kundensupports beispielsweise erlauben, mit einer einzigen Firewallrichtlinie auf die HR-Datenbank zuzugreifen.

Identitätsbasierte Firewallregeln werden von der Mitgliedschaft in einer Active Directory (AD)-Gruppe bestimmt. Beachten Sie, dass die Organisationseinheit mit einem AD-Benutzer und die Organisationseinheit mit der AD-Gruppe, in der sich der Benutzer befindet, beide zu „Zu synchronisierende Organisationseinheiten“ hinzugefügt werden müssen, damit IDFW-Regeln funktionieren. Siehe Von der identitätsbasierten Firewall unterstützte Konfigurationen.

IDFW verarbeitet die Benutzeridentität an der Quelle nur in Firewallregeln. Nur Datenverkehr, der von der Quelle stammt, in der die Benutzeridentität verarbeitet wird, unterliegt den IDFW-Regeln. Identitätsbasierte Gruppen können nicht als Ziel in verteilten Firewallregeln und Gateway-Firewallregeln verwendet werden.

Hinweis: Zur Erzwingung der identitätsbasierten Firewallregel sollte für den Windows-Zeitdienst ein für alle VMs festgelegt sein, die Active Directory verwenden. Dadurch wird sichergestellt, dass Datum und Uhrzeit zwischen Active Directory und VMs synchronisiert werden. Änderungen der AD-Gruppenmitgliedschaft, einschließlich der Aktivierung und Löschung von Benutzern, werden nicht sofort für angemeldete Benutzer wirksam. Damit die Änderungen wirksam werden, müssen sich die Benutzer abmelden und erneut anmelden. AD-Administratoren sollten eine Abmeldung erzwingen, wenn die Gruppenmitgliedschaft geändert wird. Dieses Verhalten ist eine Beschränkung von Active Directory.

Voraussetzungen

Wenn die automatische Windows-Anmeldung auf VMs aktiviert ist, wechseln Sie zu Lokale Computerrichtlinie > Computerkonfiguration > Administrative Vorlagen > System > Anmeldung und aktivieren Sie die Option Beim Starten des Computers und Anmelden immer auf das Netzwerk warten.

Informationen zu unterstützten IDFW-Konfigurationen finden Sie unter Von der identitätsbasierten Firewall unterstützte Konfigurationen.

Prozedur

  1. Aktivieren Sie den NSX Datei-Introspektion-Treiber und den NSX Netzwerk-Introspektion-Treiber (bei der vollständigen VMware Tools-Installation werden diese standardmäßig hinzugefügt) oder Ereignisprotokoll-Scraping. Siehe Ereignisprotokollquellen für identitätsbasierte Firewall.

    Ereignisprotokoll-Scraping aktiviert IDFW für physische Geräte. Ereignisprotokoll-Scraping kann für virtuelle Maschinen verwendet werden, Guest Introspection hat jedoch Vorrang vor dem Ereignisprotokoll-Scraping. Guest Introspection wird über VMware Tools aktiviert. Wenn Sie die vollständige VMware Tools-Installation und IDFW verwenden, hat Guest Introspection Vorrang vor dem Ereignisprotokoll-Scraping.

  2. Aktivieren der identitätsbasierten Firewall auf DFW und GFW.
  3. Konfigurieren Sie Active Directory (erforderlich) und das Ereignisprotokollierungs-Scraping (optional) Konfigurieren von Active Directory und Ereignisprotokoll-Scraping.
  4. Konfigurieren von Active Directory-Synchronisierungsvorgängen: Synchronisieren von Active Directory.
  5. Erstellen Sie eine Gruppe mit Active Directory-Gruppenmitgliedern: Hinzufügen einer Gruppe.
  6. Weisen Sie eine Gruppe mit AD-Gruppenmitgliedern einer Regel für die verteilte Firewall oder einer Gateway-Firewallregel zu. Wenn Sie eine DFW-Regel mit Guest Introspection erstellen, müssen Sie darauf achten, dass das Feld Angewendet auf für die Quellgruppe gilt: Hinzufügen einer verteilten Firewall. Das Feld Quelle sollte eine AD-basierte Gruppe sein.
    Für jede identitätsbasierte Firewallregel, die Datenverkehr von einer Gruppe von Benutzern an ein Ziel zulässt, muss eine entsprechende Regel für verteilte Firewalls oder eine Gateway-Firewallregel vorhanden sein, die Datenverkehr von einer Gruppe von Maschinen an jenes Ziel zulässt, das in der identitätsbasierten Firewallregel angegeben ist. Die Gruppe der Maschinen gibt die Maschinen an, bei denen sich Benutzer in der identitätsbasierten Firewallregel anmelden.

    Beim Konfigurieren der identitätsbasierten Firewall empfiehlt es sich, eine Regel zu erstellen, die den Datenverkehr von allen Benutzern an ein Ziel blockiert, und eine weitere Regel zu erstellen, die Datenverkehr für eine bestimmte Gruppe von Benutzern an dasselbe Ziel zulässt.