使用 Guest Introspection 設定封鎖規則

使用 Guest Introspection 設定允許規則

使用事件記錄收集設定允許/拒絕規則

• 必要條件 - 首先應準備實體工作負載作為 NSX 傳輸節點。透過這種方法，我們可以將實體伺服器作為 NSX 詳細目錄的一部分，在它成為 NSX 詳細目錄的一部分後，我們可以在 DFW 的 [套用至] 欄位中使用該實體伺服器。請參閱《NSX 安裝指南》中的〈準備實體伺服器作為 NSX 傳輸節點〉。
• 啟用身分識別防火牆。移至安全性 > 分散式防火牆 > 設定 > 身分識別防火牆設定。
• 啟用 IDFW 後，可以選擇在特定叢集或所有獨立主機上啟用 IDFW。在此範例中，我們將在計算叢集上啟用 IDFW。
• 導覽至系統 > 身分識別防火牆 AD 以新增 Active Directory 網域。向您的 IDFW Active Directory 設定事件記錄伺服器。將在防火牆規則的來源欄位中使用 AD 中的使用者或群組。
• 導覽至安全性 > 一般設定 > 身分識別防火牆事件記錄來源 > ，以開啟事件記錄收集。使用事件記錄收集時，請確保在所有裝置上正確設定 NTP。事件記錄收集為實體裝置啟用 IDFW。事件記錄收集可用於虛擬機器，但 Guest Introspection 優先於事件記錄收集。
• 導覽至詳細目錄 > 群組並按一下新增群組，以建立一個群組。將在防火牆規則的來源欄位中使用該群組。
• 根據虛擬機器名稱準則，建立一個名為 Web 的動態安全群組。
• 建立兩個防火牆規則：一個規則允許某個使用者群組的流量流向目的地，另一個規則阻止所有其他使用者的流量流向同一目的地。在下面的範例中，第一個規則名為「IDFW 規則」，它將群組 NSX 作為來源，並將防火牆規則套用於使用者登入的 JS-Physical。此防火牆規則不會套用於群組 Web 的成員，因為是在來源中處理 IDFW 使用者內容。下面的第二個防火牆規則將捨棄來自所有其他來源的使用者。

  規則名稱	來源	目的地	服務	內容設定檔	套用至	動作
  IDFW 規則	NSX	Web	HTTPS	無	JS- Physical	允許
  全部拒絕	任何	任何	無	無	JS- Physical	捨棄