IDFW 可藉由允許基於使用者身分識別的防火牆規則,來增強傳統防火牆的效用。例如,管理員可以使用單一防火牆原則來允許或禁止客戶支援人員存取 HR 資料庫。

以身分識別為基礎的防火牆規則由 Active Directory (AD) 群組成員資格中的成員資格所決定。請參閱身分識別防火牆支援的組態

IDFW 只會處理在防火牆規則中位於來源的使用者身分識別。以身分識別為基礎的群組無法作為防火牆規則中的目的地。

備註: 在強制執行身分識別防火牆規則時,所有使用 Active Directory 的虛擬機器均應 開啟 Windows 時間服務。這可確保 Active Directory 與虛擬機器之間的日期和時間能夠保持同步。對於已登入的使用者,AD 群組成員資格變更 (包括啟用和刪除使用者) 並不會立即生效。若要使變更生效,使用者必須登出後再重新登入。修改群組成員資格後,AD 管理員應強制登出。此行為是一個 Active Directory 限制。

必要條件

如果已在虛擬機器上啟用 Windows 自動登入,請移至本機電腦原則 > 電腦設定 > 系統管理範本 > 系統 > 登入,並啟用永遠在電腦啟動及登入時等待網路啟動

如需支援的 IDFW 組態,請參閱身分識別防火牆支援的組態

程序

  1. 啟用 NSX File Introspection 驅動程式和 NSX Network Introspection 驅動程式 (依預設,VMware Tools 完整安裝會新增這些驅動程式) 或事件記錄收集。請參閱身分識別防火牆事件記錄來源

    事件記錄收集為實體裝置啟用 IDFW。事件記錄收集可用於虛擬機器,但 Guest Introspection 優先於事件記錄收集。Guest Introspection 是透過 VMware Tools 啟用,如果您使用的是 VMware Tools 完整安裝和 IDFW,Guest Introspection 將優先於事件記錄收集。

  2. 在 DFW 和 GFW 上啟用身分識別防火牆
  3. (選用):設定 Active Directory 和事件記錄收集
  4. 設定 Active Directory 同步作業:同步 Active Directory
  5. 使用 Active Directory 群組成員建立安全群組 (SG):新增群組
  6. 將包含 AD 群組成員的安全群組指派給分散式防火牆規則或閘道防火牆規則。如果使用 Guest Introspection 建立 DFW 規則,請確保套用至欄位套用於目的地群組:新增分散式防火牆來源欄位應是以 AD 為基礎的群組。