身分識別防火牆支援以 Active Directory 為基礎的使用者群組設定分散式防火牆規則。
身分識別防火牆支援以 Active Directory 為基礎的使用者群組設定分散式防火牆規則。 在來源中處理使用者內容。IDFW 必須知道 Active Directory 使用者所登入的虛擬桌面平台,以便套用防火牆規則。使用者身分識別可用作防火牆規則中的來源,而不是目的地。登入偵測方法有兩種:
- Guest Introspection (GI)
- 事件記錄收集
使用 Guest Introspection 設定封鎖規則
- 啟用身分識別防火牆。移至 。
- 啟用 IDFW 後,可以選擇在特定叢集或所有獨立主機上啟用 IDFW。在此範例中,我們將在計算叢集上啟用 IDFW。
- 導覽至 以新增 Active Directory 網域。將在防火牆規則的來源欄位中使用 AD 中的使用者或群組。
- 導覽至新增群組,以建立一個群組。在此範例中,我們將建立一個名為開發人員的群組,群組中的成員來自 AD 群組。將在防火牆規則的來源欄位中使用該群組。 並按一下
- 建立 IDFW 原則,以阻止屬於「開發人員」AD 群組的使用者的 SSH 流量。規則定義:如果 <開發人員 AD 群組中的任何使用者> 存取 <TCP 22 / SSH 上的任何目的地>,都會遭到拒絕。建立一個將開發人員群組作為來源且動作為拒絕的防火牆規則。
規則名稱 來源 目的地 服務 內容設定檔 套用至 動作 阻止開發人員的 SSH 開發人員 任何 SSH DFW 拒絕
使用 Guest Introspection 設定允許規則
- 啟用身分識別防火牆。移至 。
- 啟用 IDFW 後,可以選擇在特定叢集或所有獨立主機上啟用 IDFW。在此範例中,我們將在計算叢集上啟用 IDFW。
- 導覽至 以新增 Active Directory 網域。將在防火牆規則的來源欄位中使用 AD 中的使用者或群組。
- 導覽至新增群組,以建立一個群組。在此範例中,我們將建立一個名為 NSX 的群組,其中包含 Active Directory 群組成員。將在防火牆規則的來源欄位中使用該群組。 並按一下
- 根據虛擬機器名稱準則,建立一個名為 Web 的動態安全群組。
- 建立兩個防火牆規則:一個規則允許某個使用者群組的流量流向目的地,另一個規則阻止所有其他使用者的流量流向同一目的地。在下面的範例中,第一個規則名為「IDFW 規則」,它將群組 NSX 作為來源,並將防火牆規則套用於使用者登入的虛擬機器。此防火牆規則不會套用於群組 Web 的成員,因為是在來源中處理 IDFW 使用者內容。下面的第二個防火牆規則將捨棄來自所有其他來源的使用者。
規則名稱 來源 目的地 服務 內容設定檔 套用至 動作 IDFW 規則 NSX Web HTTPS 無 user-vm-01 允許 全部拒絕 任何 任何 任何 無 user-vm-01 捨棄
使用事件記錄收集設定允許/拒絕規則
- 必要條件 - 首先應準備實體工作負載作為 NSX 傳輸節點。透過這種方法,我們可以將實體伺服器作為 NSX 詳細目錄的一部分,在它成為 NSX 詳細目錄的一部分後,我們可以在 DFW 的 [套用至] 欄位中使用該實體伺服器。請參閱《NSX 安裝指南》中的〈準備實體伺服器作為 NSX 傳輸節點〉。
- 啟用身分識別防火牆。移至 。
- 啟用 IDFW 後,可以選擇在特定叢集或所有獨立主機上啟用 IDFW。在此範例中,我們將在計算叢集上啟用 IDFW。
- 導覽至事件記錄伺服器。將在防火牆規則的來源欄位中使用 AD 中的使用者或群組。 以新增 Active Directory 網域。向您的 IDFW Active Directory 設定
- 導覽至 使用事件記錄收集時,請確保在所有裝置上正確設定 NTP。事件記錄收集為實體裝置啟用 IDFW。事件記錄收集可用於虛擬機器,但 Guest Introspection 優先於事件記錄收集。
- 導覽至新增群組,以建立一個群組。將在防火牆規則的來源欄位中使用該群組。 並按一下
- 根據虛擬機器名稱準則,建立一個名為 Web 的動態安全群組。
- 建立兩個防火牆規則:一個規則允許某個使用者群組的流量流向目的地,另一個規則阻止所有其他使用者的流量流向同一目的地。在下面的範例中,第一個規則名為「IDFW 規則」,它將群組 NSX 作為來源,並將防火牆規則套用於使用者登入的 JS-Physical。此防火牆規則不會套用於群組 Web 的成員,因為是在來源中處理 IDFW 使用者內容。下面的第二個防火牆規則將捨棄來自所有其他來源的使用者。
規則名稱 來源 目的地 服務 內容設定檔 套用至 動作 IDFW 規則 NSX Web HTTPS 無 JS- Physical 允許 全部拒絕 任何 任何 無 無 JS- Physical 捨棄