配置身份防火墙规则
启用身份防火墙
为计算集群启用识别防火墙。
- 在 NSX UI 上,导航到安全>策略管理>分布式防火墙。
- 从操作下拉菜单中选择常规设置。
- 在“常规防火墙”选项卡上,打开“识别防火墙状态”开关以显示“打开”。
- 单击身份防火墙选项卡。
- 在“身份防火墙”选项卡上,打开“计算集群”开关以显示“打开”。
- 单击“保存”。
将 Active Directory 域添加到 NSX
配置身份防火墙 Active Directory。
- 导航到系统>配置>身份防火墙 AD。
- 单击添加活动目录。
- 输入vclass.local作为名称。
- 输入VCLASSNetBIOS 名称。
- 输入DC=vclass,DC=local作为基本专有名称。
为身份防火墙 Active Directory 配置 LDAP 服务器。
- 单击LDAP 服务器旁边的设置。
- 单击添加 LDAP 服务器。
- 配置 LDAP 服务器。
- 单击“添加”。
- 当Thumbprint is Missing出现警告时,单击“添加”。
- 单击“添加”。
- 单击“应用”。
- 单击“保存”。
- 单击同步状态下的检查状态。
- 验证同步状态是否为成功。
测试 SSH 连接
- 打开 Win10 虚拟机的 Web 控制台。
- 输入dev@vclass.local用户名和密码。
- 从 Win10 虚拟机的桌面,打开PuTTY 会话。
- 在“PuTTY 配置”窗口的“主机名(或 IP 地址)”文本框中输入172.16.10.11
- 单击“打开”。
- 如果PuTTY Security Alert出现消息,请单击“接受”。
- 验证 SSH 会话是否成功打开,并且系统是否提示您输入远程计算机的凭据。
- 输入root用户名和密码。
- 关闭putty。
- 单击控制台右上角的“发送 Ctrl+Alt+Delete” ,然后单击“注销”。
创建身份防火墙规则
创建一个包含 Active Directory Developers 组的用户的组。
- 在 NSX UI 上,导航到清单>组。
- 单击添加组。
- 输入Developers作为名称。
- 在计算成员列中,单击设置链接。
- 单击AD 组选项卡。
- 选择Developers Active Directory 组并单击“应用”。
- 单击“保存”。
创建分布式防火墙策略以阻止来自Developers Active Directory 组的 SSH 流量。 - 导航到安全>策略管理>分布式防火墙。
- 导航到“类别特定规则”选项卡,然后单击“应用程序”部分。
- 单击+添加策略。
- 新策略行出现后,输入BLOCK SSH名称。
配置拒绝来自Developers Active Directory 组的 SSH 流量的规则。 - 单击 BLOCK SSH 附近的垂直省略号图标,然后选择添加规则以添加新的分布式防火墙规则。
- 在“名称”列中,输入Block SSH from Developers 名称。
- 在“来源”列中,单击铅笔图标,选中“Developers”复选框,然后单击“应用”。
- 在“目标”列中,将“任意”(默认)保留为选中状态。
- 在“服务”列中,单击铅笔图标,选中“SSH”复选框,然后单击“应用”。
- 在“上下文配置文件”列中,选择“无”(默认)。
- 在“应用到”列中,单击铅笔图标,单击“组”,选中“ Windows”复选框,然后单击“应用”。
- 在操作列中,从下拉菜单中选择拒绝。
保留所有其他设置的默认值。 - 单击发布。
验证身份防火墙规则操作
验证Developers Active Directory 组中的用户是否由于配置的身份防火墙规则而无法再打开 SSH 会话。
- 打开Win10虚拟机的 Web 控制台,并使用 dev@vclass.local 作为用户名和密码。
- 从 Win10 虚拟机的桌面,打开到 172.16.10.11 的 PuTTY 会话。
- 在“PuTTY 配置”窗口的“主机名(或 IP 地址)”文本框中输入172.16.10.11
- 单击“打开”。
- 创建的身份防火墙规则拒绝来自 Developers Active Directory 组中用户的所有 SSH 流量。当您以 dev@vclass.local 身份登录时尝试打开 SSH 会话时,会出现“连接被拒绝”错误。
- 以 jdoe@vclass.local 身份登录 Win10 虚拟机,打开 172.16.10.11 的 PuTTY 会话。
- 单击控制台右上角的“发送 Ctrl+Alt+Delete” ,然后单击“注销”。
- 在登录屏幕上,单击其他用户。
- 输入jdoe@vclass.local用户名和密码。
- 在 Win10 虚拟机的桌面上,打开 PuTTY。
- 在“PuTTY 配置”窗口的“主机名(或 IP 地址)”文本框中输入172.16.10.11.
- 单击“打开”。
- 如果PuTTY Security Alert出现消息,请单击“接受”。
SSH 会话成功打开,因为 jdoe@vclass.local 不是 Developers AD 组的成员。 - 输入root用户名和密码。