IDFW 可藉由允許基於使用者身分識別的防火牆規則,來增強傳統防火牆的效用。例如,管理員可以使用單一防火牆原則來允許或禁止客戶支援人員存取 HR 資料庫。
以身分識別為基礎的防火牆規則由 Active Directory (AD) 群組成員資格中的成員資格所決定。請參閱身分識別防火牆支援的組態。
IDFW 只會處理在分散式防火牆規則中位於來源的使用者身分識別。以身分識別為基礎的群組無法作為 DFW 規則中的目的地。
備註: 在強制執行身分識別防火牆規則時,所有使用 Active Directory 的虛擬機器均應
開啟 Windows 時間服務。這可確保 Active Directory 與虛擬機器之間的日期和時間能夠保持同步。對於已登入的使用者,AD 群組成員資格變更 (包括啟用和刪除使用者) 並不會立即生效。若要使變更生效,使用者必須登出後再重新登入。修改群組成員資格後,AD 管理員應強制登出。此行為是一個 Active Directory 限制。
必要條件
如果已在虛擬機器上啟用 Windows 自動登入,請移至永遠在電腦啟動及登入時等待網路啟動。
,並啟用如需支援的 IDFW 組態,請參閱身分識別防火牆支援的組態。
程序
- 啟用 NSX File Introspection 驅動程式和 NSX Network Introspection 驅動程式。依預設,VMware Tools 完整安裝會新增這些項目。
- 在叢集或獨立主機上啟用 IDFW:啟用身分識別防火牆。
- 設定 Active Directory 網域:新增 Active Directory。
- 設定 Active Directory 同步作業:同步 Active Directory。
- 使用 Active Directory 群組成員建立安全群組 (SG):新增群組。
- 將具有 AD 群組成員的 SG 指派給分散式防火牆規則:新增分散式防火牆。