透過身分識別防火牆 (IDFW) 功能,NSX 管理員可建立以 Active Directory 使用者為基礎的分散式防火牆 (DFW) 規則。
IDFW 可用於虛擬桌面平台 (VDI) 或遠端桌面工作階段 (RDSH 支援),實現讓多個使用者同時登入、根據需求進行使用者應用程式存取,以及維護獨立使用者環境的能力。VDI 管理系統控制哪些使用者有權存取 VDI 虛擬機器。NSX-T 會控制已啟用 IDFW 之來源虛擬機器 (VM) 對目的地伺服器的存取。使用 RDSH 時,管理員會將 Active Directory (AD) 中的不同使用者建立成安全群組,然後根據這些使用者的角色,允許或拒絕其對應用程式伺服器的存取。例如,人力資源部和工程部可以連線至同一個 RDSH 伺服器,但對該伺服器上的不同應用程式具有存取權。
IDFW 也可用於具有受支援作業系統的虛擬機器。請參閱身分識別防火牆支援的組態。
IDFW 組態工作流程的高階概觀是從準備基礎結構開始。準備工作包括管理員在每個受保護的叢集上安裝主機準備元件,然後設定 Active Directory 同步化,讓 NSX 能夠取用 AD 使用者與群組。接著,IDFW 必須知道 Active Directory 使用者所登入的桌面平台,並套用 IDFW 規則。當使用者產生網路事件時,隨 VMware Tools 安裝在虛擬機器上的精簡型代理程式會收集資訊,然後將其傳送至內容引擎。此資訊可用於分散式防火牆的強制執行。
IDFW 只會處理在分散式防火牆規則中位於來源的使用者身分識別。以身分識別為基礎的群組無法作為 DFW 規則中的目的地。
備註: IDFW 需依賴客體作業系統的安全性和完整性。惡意本機管理員有多種方法可偽造其身分識別以略過防火牆規則。使用者身分識別資訊由客體虛擬機器中的 NSX Guest Introspection 精簡型代理程式所提供。安全管理員必須確定已在每個客體虛擬機器中安裝並執行精簡型代理程式。已登入的使用者不應擁有移除或停止代理程式的權限。
如需支援的 IDFW 組態,請參閱身分識別防火牆支援的組態。
IDFW 工作流程:
- 使用者登入虛擬機器,然後開啟 Skype 或 Outlook 來啟動網路連線。
- 精簡型代理程式會偵測到使用者登入事件,它會收集連線資訊和身分識別資訊,然後將收集到的資訊傳送給內容引擎。
- 內容引擎將這些連線資訊和身分識別資訊轉送給分散式防火牆規則來強制執行任何適用的規則。