IDFW 可藉由允許基於使用者身分識別的防火牆規則,來增強傳統防火牆的效用。例如,管理員可以使用單一防火牆原則來允許或禁止客戶支援人員存取 HR 資料庫。

以身分識別為基礎的防火牆規則由 Active Directory (AD) 群組成員資格中的成員資格所決定。請注意,必須同時將具有 AD 使用者的 OU 以及具有該使用者所在的 AD 群組的 OU 新增至 [要同步的組織單位] 中,IDFW 規則才能正常運作。請參閱身分識別防火牆支援的組態

IDFW 只會處理在防火牆規則中位於來源的使用者身分識別。只有來自處理使用者身分識別來源的流量才會受到 IDFW 規則的影響。以身分識別為基礎的群組無法作為分散式防火牆和閘道防火牆規則中的目的地。

備註: 在強制執行身分識別防火牆規則時,所有使用 Active Directory 的虛擬機器均應 開啟 Windows 時間服務。這可確保 Active Directory 與虛擬機器之間的日期和時間能夠保持同步。對於已登入的使用者,AD 群組成員資格變更 (包括啟用和刪除使用者) 並不會立即生效。若要使變更生效,使用者必須登出後再重新登入。修改群組成員資格後,AD 管理員應強制登出。此行為是一個 Active Directory 限制。

必要條件

如果已在虛擬機器上啟用 Windows 自動登入,請移至本機電腦原則 > 電腦設定 > 系統管理範本 > 系統 > 登入,並啟用永遠在電腦啟動及登入時等待網路啟動

如需支援的 IDFW 組態,請參閱身分識別防火牆支援的組態

程序

  1. 啟用 NSX 檔案自我檢查驅動程式和 NSX 網路自我檢查驅動程式 (依預設,VMware Tools 完整安裝會新增這些驅動程式) 或事件記錄收集。請參閱身分識別防火牆事件記錄來源

    事件記錄收集為實體裝置啟用 IDFW。事件記錄收集可用於虛擬機器,但 Guest Introspection 優先於事件記錄收集。Guest Introspection 是透過 VMware Tools 啟用,如果您使用的是 VMware Tools 完整安裝和 IDFW,Guest Introspection 將優先於事件記錄收集。

  2. 在 DFW 和 GFW 上啟用身分識別防火牆
  3. 設定 Active Directory (必要) 和事件記錄收集 (選用)設定 Active Directory 和事件記錄收集
  4. 設定 Active Directory 同步作業:同步 Active Directory
  5. 建立含有 Active Directory 群組成員的群組:新增群組
  6. 將包含 AD 群組成員的群組指派給分散式防火牆規則或閘道防火牆規則。如果使用 Guest Introspection 建立 DFW 規則,請確保套用至欄位套用於來源群組:新增分散式防火牆來源欄位應是以 AD 為基礎的群組。
    對於允許流量從一組使用者流向某個目的地的每個身分識別防火牆規則,必須存在相應的分散式防火牆規則或閘道防火牆規則,以允許流量從一組機器流向身分識別防火牆規則中指定的相同目的地。這組機器指定了身分識別防火牆規則中的使用者將登入到的機器。

    設定身分識別防火牆時,最佳做法是建立一個規則來阻止流量從所有使用者流向某個目的地,並建立另一個規則來允許流量從特定一組使用者流向相同目的地。