IDFW 可藉由允許基於使用者身分識別的防火牆規則,來增強傳統防火牆的效用。例如,管理員可以使用單一防火牆原則來允許或禁止客戶支援人員存取 HR 資料庫。

以身分識別為基礎的防火牆規則由 Active Directory (AD) 群組成員資格中的成員資格所決定。請參閱身分識別防火牆支援的組態

備註: SMB 通訊協定不支援身分識別防火牆規則。無法根據 IDFW 規則篩選 CIFS/SMB 流量。應使用分散式防火牆規則來保護此流量。

IDFW 只會處理在分散式防火牆規則中位於來源的使用者身分識別。以身分識別為基礎的群組無法作為 DFW 規則中的目的地。

備註: 在強制執行身分識別防火牆規則時,所有使用 Active Directory 的虛擬機器均應 開啟 Windows 時間服務。這可確保 Active Directory 與虛擬機器之間的日期和時間能夠保持同步。對於已登入的使用者,AD 群組成員資格變更 (包括啟用和刪除使用者) 並不會立即生效。若要使變更生效,使用者必須登出後再重新登入。修改群組成員資格後,AD 管理員應強制登出。此行為是一個 Active Directory 限制。

必要條件

如果已在虛擬機器上啟用 Windows 自動登入,請移至本機電腦原則 > 電腦設定 > 系統管理範本 > 系統 > 登入,並啟用永遠在電腦啟動及登入時等待網路啟動

如需支援的 IDFW 組態,請參閱身分識別防火牆支援的組態

程序

  1. 啟用 NSX File Introspection 驅動程式和 NSX Network Introspection 驅動程式。依預設,VMware Tools 完整安裝會新增這些項目。
  2. 在叢集或獨立主機上啟用 IDFW:啟用身分識別防火牆
  3. 設定 Active Directory 網域:新增 Active Directory
  4. 設定 Active Directory 同步作業:同步 Active Directory
  5. 使用 Active Directory 群組成員建立安全群組 (SG):新增群組
  6. 將具有 AD 群組成員的 SG 指派給分散式防火牆規則:新增分散式防火牆