IDFW(ID 방화벽)는 사용자 기반 DFW(분산 방화벽 규칙)를 허용합니다.
사용자 기반 분산 방화벽 규칙은 AD(Active Directory) 그룹 멤버 자격의 자격에 따라 결정됩니다. IDFW는 AD 사용자가 로그인된 위치를 모니터링하고 DFW에서 방화벽 규칙을 적용하는 데 사용하는 IP 주소에 로그인을 매핑합니다. ID 방화벽에는 Guest Introspection 프레임워크 또는 Active Directory 이벤트 로그 스크랩이 필요합니다. 작업 환경에서 두 방법을 모두 사용하거나 한 가지만 사용할 수 있습니다. AD 로그 스크레이퍼와 Guest Introspection이 둘 다 사용될 경우 Guest Introspection이 먼저 적용됩니다. AD 이벤트 로그 스크레이퍼와 Guest Introspection을 둘 다 사용하는 경우 두 기능은 상호 배타적입니다. 두 기능 중 하나가 작동을 중지하면 다른 기능이 백업으로 작동하지 못합니다.
AD 그룹 멤버 자격 변경 사항은 RDSH ID 방화벽 규칙을 사용하는 로그인된 사용자에 대해 즉시 적용되지 않으며, 이러한 변경 사항에는 사용자를 사용하거나 사용하지 않도록 설정, 사용자 삭제가 포함됩니다. 변경 사항을 적용하려면 로그오프했다가 다시 로그인해야 합니다. AD 관리자는 그룹 구성원 자격이 수정된 경우 강제로 로그오프하는 것이 좋습니다. 이 동작은 Active Directory의 제한 사항입니다.
IDFW의 북쪽 바운드 흐름:- 사용자가 VM에 로그인합니다.
- NSX 관리부에서 사용자 로그인 이벤트가 수신됩니다.
- NSX 관리부는 사용자를 보고, 사용자가 속하는 모든 AD(Active Directory) 그룹을 수신합니다. NSX 관리부는 영향을 받는 모든 AD 그룹에 대한 그룹 수정 이벤트를 전송합니다.
- 각 Active Directory 그룹에서, 이 AD 그룹을 포함하는 모든 SG(보안 그룹)에 플래그가 지정되고, 이 변경 사항을 처리하기 위한 대기열에 작업이 추가됩니다. 단일 SG에 여러 Active Directory 그룹이 포함될 수 있으므로 단일 사용자가 동일한 SG에 대해 여러 처리 이벤트를 트리거하는 경우도 종종 발생합니다. 이 문제를 해결하기 위해 중복된 보안 그룹 처리 요청이 제거됩니다.
IDFW의 남쪽 바운드 흐름:
- 보안 그룹 처리 요청이 수신됩니다. SG가 수정되면 NSX는 영향을 받는 모든 엔티티를 업데이트하고 IDFW 규칙에 따라 작업을 트리거합니다.
- NSX는 SG에 대한 모든 Active Directory 그룹을 수신합니다.
- Active Directory에서 NSX는 AD 그룹에 속한 모든 사용자를 수신합니다.
- Active Directory 사용자는 해당 IP 주소와 연결됩니다.
- IP 주소는 vNIC에 매핑되고 vNIC가 VM(가상 시스템)에 매핑됩니다. VM의 결과 목록은 보안 그룹-VM 변환 결과입니다.
RDSH에 대한 ID 방화벽은 Windows Server 2016, VMware Tools 10.2.5 이상이 있는 Windows 2012, VMware Tools 10.2.5 이상이 있는 Windows 2012 R2에서만 지원됩니다.