透過身分識別防火牆 (IDFW) 功能,NSX 管理員可建立以 Active Directory 使用者為基礎的分散式防火牆 (DFW) 規則。

IDFW 可用於虛擬桌面平台 (VDI) 或遠端桌面工作階段 (RDSH 支援),以及實體機器,實現讓多位使用者同時登入、根據需求進行使用者應用程式存取,以及維護獨立使用者環境的能力。VDI 管理系統控制哪些使用者有權存取 VDI 虛擬機器。NSX-T 會控制已啟用 IDFW 之來源虛擬機器 (VM) 對目的地伺服器的存取。使用 RDSH 時,管理員會將 Active Directory (AD) 中的不同使用者建立成安全群組,然後根據這些使用者的角色,允許或拒絕其對應用程式伺服器的存取。例如,人力資源部和工程部可以連線至同一個 RDSH 伺服器,但對該伺服器上的不同應用程式具有存取權。

IDFW 必須知道 Active Directory (AD) 使用者所登入的桌面平台,以便套用防火牆規則。IDFW 使用兩種方法進行登入偵測:Guest Introspection (GI) 和/或事件記錄收集。Guest Introspection 部署在執行 IDFW 虛擬機器的 ESXi 叢集上。在使用者產生網路事件時,在虛擬機器上安裝的客體代理程式將資訊透過 Guest Introspection 架構轉送至 NSX Manager。第二種選項是使用 Active Directory 事件記錄收集器。事件記錄收集為實體裝置啟用 IDFW。在 NSX Manager 中設定 Active Directory 事件記錄收集器,以指向 Active Directory 網域控制器的執行個體。然後,NSX Manager 將從 AD 安全性事件記錄中提取事件。

事件記錄收集可用於虛擬機器,但在同時使用 AD 記錄收集器和 Guest Introspection 時,Guest Introspection 將優先於事件記錄收集。Guest Introspection 透過 VMware Tools 啟用,如果您使用的是 VMware Tools 完整安裝和 IDFW,Guest Introspection 將優先於事件記錄收集。請注意,如果同時使用 AD 事件記錄收集器和 Guest Introspection,它們是互斥的:如果其中的一個元件停止運作,另一個元件不會作為備用元件開始運作。

IDFW 也可用於具有受支援作業系統的虛擬機器。請參閱身分識別防火牆支援的組態

IDFW 只會處理在防火牆規則中位於來源的使用者身分識別。以身分識別為基礎的群組無法作為防火牆規則中的目的地。

備註: IDFW 需依賴客體作業系統的安全性和完整性。惡意本機管理員有多種方法可偽造其身分識別以略過防火牆規則。使用者身分識別資訊由客體虛擬機器中的 NSX Guest Introspection 精簡型代理程式所提供。安全管理員必須確定已在每個客體虛擬機器中安裝並執行精簡型代理程式。已登入的使用者不應擁有移除或停止代理程式的權限。

如需支援的 IDFW 組態,請參閱身分識別防火牆支援的組態