透過身分識別防火牆 (IDFW) 功能,NSX 管理員可建立以 Active Directory 使用者為基礎的分散式防火牆 (DFW) 規則。

IDFW 可用於虛擬桌面平台 (VDI) 或遠端桌面工作階段 (RDSH 支援),以及實體機器,實現讓多位使用者同時登入、根據需求進行使用者應用程式存取,以及維護獨立使用者環境的能力。VDI 管理系統控制哪些使用者有權存取 VDI 虛擬機器。NSX-T Data Center 會控制已啟用 IDFW 之來源虛擬機器 (VM) 對目的地伺服器的存取。使用 RDSH 時,管理員會將 Active Directory (AD) 中的不同使用者建立成安全群組,然後根據這些使用者的角色,允許或拒絕其對應用程式伺服器的存取。例如,人力資源部和工程部可以連線至同一個 RDSH 伺服器,但對該伺服器上的不同應用程式具有存取權。

IDFW 必須知道 Active Directory (AD) 使用者所登入的桌面平台,以便套用防火牆規則。IDFW 使用兩種方法進行登入偵測:Guest Introspection (GI) 和/或事件記錄收集。Guest Introspection 部署在執行 IDFW 虛擬機器的 ESXi 叢集上。在使用者產生網路事件時,在虛擬機器上安裝的客體代理程式將資訊透過 Guest Introspection 架構轉送至 NSX Manager。第二種選項是使用 Active Directory 事件記錄收集器。事件記錄收集為實體裝置啟用 IDFW。在 NSX Manager 中設定 Active Directory 事件記錄收集器,以指向 Active Directory 網域控制器的執行個體。然後,NSX Manager 將從 AD 安全性事件記錄中提取事件。

事件記錄收集可用於虛擬機器,但在同時使用 AD 記錄收集器和 Guest Introspection 時,Guest Introspection 將優先於事件記錄收集。Guest Introspection 透過 VMware Tools 啟用,如果您使用的是 VMware Tools 完整安裝和 IDFW,Guest Introspection 將優先於事件記錄收集。

IDFW 也可用於具有受支援作業系統的虛擬機器。請參閱身分識別防火牆支援的組態

IDFW 只會處理在防火牆規則中位於來源的使用者身分識別。只有來自處理使用者身分識別來源的流量才會受到 IDFW 規則的影響。以身分識別為基礎的群組無法作為防火牆規則中的目的地。

備註: IDFW 需依賴客體作業系統的安全性和完整性。惡意本機管理員有多種方法可偽造其身分識別以略過防火牆規則。使用者身分識別資訊由客體虛擬機器中的 NSX Guest Introspection 精簡型代理程式所提供。安全管理員必須確定已在每個客體虛擬機器中安裝並執行精簡型代理程式。已登入的使用者不應擁有移除或停止代理程式的權限。

以身分識別為基礎的防火牆規則由 Active Directory (AD) 群組成員資格中的成員資格所決定。必須同時將具有 AD 使用者的 OU 以及具有該使用者所在的 AD 群組的 OU 新增至 [要同步的組織單位] 中,IDFW 規則才能正常運作。如需支援的 IDFW 組態和通訊協定,請參閱身分識別防火牆支援的組態

聯盟環境中的全域管理程式不支援 IDFW 規則。在聯合站台中,仍可透過在本機管理程式上建立 IDFW 規則的方式,在本機使用 IDFW。

IDFW 原則群組和 DFW 規則比對邏輯

IDFW 原則群組可以分為兩種:
  • 只包含 AD 群組作為原則群組成員的同質群組。
  • 既包含 AD 群組還包含其他成員的異質群組,例如虛擬機器和 IP 位址。
基於同質身分識別群組的安全性規則會將該規則套用於屬於 AD 群組成員的 AD 使用者登入到的所有 NSX 支援的虛擬機器。對於異質身分識別群組,它們能夠為 IDFW 安全性原則建立更具體、更精確的來源,而不是廣泛適用的來源。當屬於成員 AD 群組的 AD 使用者登錄時,在來源中使用異質身分識別群組的安全性規則將僅套用於屬於原則群組的虛擬機器 (以靜態方式或透過動態準則或透過 IP 位址/範圍指派)。該規則是屬於群組成員的虛擬機器與目標 AD 使用者登入到的虛擬機器的交集 (AND 運算)。

異質身分識別原則群組的有效成員可以透過以下邏輯找到:[所有非 AD 成員的聯集] AND [成員 AD 群組的 AD 使用者登入到的虛擬機器集合] 的交集。

範例 1 - 靜態虛擬機器成員與 AD 群組成員。
  • 目的:將幾個虛擬機器與 AD 組靜態配對時,目的是在屬於 AD 群組的 AD 使用者登入到靜態虛擬機器成員時將原則套用於這些成員。
  • 不適用的來源範例:屬於某個成員 AD 群組的 AD 使用者登入到的虛擬機器,但這些虛擬機器並非原則群組的靜態成員。屬於原則群組靜態成員但已登入使用者屬於 AD 群組 (而非原則群組成員) 的虛擬機器。
範例 2 - 基於動態名稱的虛擬機器準則與 AD 群組成員。
  • 目的:在特定 AD 使用者登入到名稱符合準則的虛擬機器時,僅將安全性原則套用於這些虛擬機器。
  • 不適用的來源範例:AD 使用者登入到但名稱不符合準則的虛擬機器。符合名稱準則的虛擬機器,但已登入使用者不屬於某個成員 AD 群組。