分散式防火牆會監控虛擬機器上的所有東西向流量。
必要條件
若要受到 DFW 保護,虛擬機器必須將其 vNIC 連線至 NSX 覆疊或 VLAN 區段。
若要為身分識別防火牆建立規則,請先建立含有 Active Directory 成員的群組。若要檢視 IDFW 支援的通訊協定,請參閱
身分識別防火牆支援的組態。
備註: 在強制執行身分識別防火牆規則時,所有使用 Active Directory 的虛擬機器均應
開啟 Windows 時間服務。這可確保 Active Directory 與虛擬機器之間的日期和時間能夠保持同步。對於已登入的使用者,AD 群組成員資格變更 (包括啟用和刪除使用者) 並不會立即生效。若要使變更生效,使用者必須登出後再重新登入。修改群組成員資格後,AD 管理員應強制登出。此行為是一個 Active Directory 限制。
請注意,如果您使用第 7 層和 ICMP 的組合,或使用任何其他通訊協定,則需要將第 7 層防火牆規則放置於最後。第 7 層「任何/任何」規則之後的任何規則都將不會執行。
如需分散式防火牆原則與規則建立的聯盟專屬詳細資料,請參閱從全域管理程式建立 DFW 原則和規則。