IDFW 可藉由允許基於使用者身分識別的防火牆規則,來增強傳統防火牆的效用。例如,管理員可以使用單一防火牆原則來允許或禁止客戶支援人員存取 HR 資料庫。
以身分識別為基礎的防火牆規則由 Active Directory (AD) 群組成員資格中的成員資格所決定。請參閱身分識別防火牆支援的組態。
IDFW 只會處理在防火牆規則中位於來源的使用者身分識別。以身分識別為基礎的群組無法作為分散式防火牆和閘道防火牆規則中的目的地。
備註: 在強制執行身分識別防火牆規則時,所有使用 Active Directory 的虛擬機器均應
開啟 Windows 時間服務。這可確保 Active Directory 與虛擬機器之間的日期和時間能夠保持同步。對於已登入的使用者,AD 群組成員資格變更 (包括啟用和刪除使用者) 並不會立即生效。若要使變更生效,使用者必須登出後再重新登入。修改群組成員資格後,AD 管理員應強制登出。此行為是一個 Active Directory 限制。
必要條件
如果已在虛擬機器上啟用 Windows 自動登入,請移至永遠在電腦啟動及登入時等待網路啟動。
,並啟用如需支援的 IDFW 組態,請參閱身分識別防火牆支援的組態。