VMware NSX [Lab 12] - Thực hiện cấu hình Identity Firewall (IDFW)

Tài liệu này sẽ hướng dẫn cấu hình Identity Firewall (IDFW)

1. Chuẩn bị​

Để thực hiện cấu hình Identity Firewall ta cần chuẩn bị AD (Active Directory), một dịch vụ thư mục phát triển bởi Microsoft dành cho các máy tính Windows domain. Ở đây AD sẽ quản lý tập chung và định danh, xác thực người dùng (tên đăng nhập, mật khẩu, ….), phân quyền rõ ràng cho việc truy cập các tài nguyên,...

• AD tổ chức dữ liệu thành một cấu trúc phân cấp cây thư mục để dễ dàng quản lý và tìm kiếm, các tp chính như :
• User : Tài khoản người dùng.
• Group : nhóm chứa người dùng, dễ dàng gắn quyền thông qua nhóm và nó sẽ áp dụng lên tất cả người dùng tham gia nhóm này.
• Computer : Các thiết bị trong mạng.
• Organizational Units : Đơn vị tổ chức để quản lý các đối tượng khác
• Domains: Một nhóm máy tính và người dùng được quản lý bởi một domain controller tập chung.

Trước khi đi vào cấu hình AD thì việc trước tiên cần làm là cấu hình DNS

• Trước tiên đặt IP tĩnh và chỉnh DNS trỏ về chính nó (Domain Controller)

• Tạo Forward Lookup Zone (Phân giải xuôi: Tên miền -> IP) DNS Manager cài ở Server Manage

• Tạo các bản ghi A record trỏ về các IP​

• Tạo Reverse Lookup Zone (Phân giải ngược: IP -> Tên): Nhập Net vào ở đây là 10.30.195

• Sau đó cho các máy chủ, máy ảo đổi DNS server thành 10.30.195.4 và kiểm tra thực tế​

Sau đó chúng ta sẽ đi vào cấu hình AD (Active Directory)

• Sau khi cài đặt AD từ Server Manager và nhập các thông tin, new forest intern.local

• NSX cần một account để đọc dữ liệu từ AD nên ta tạo ở thư mục Users một user có quyền đọc để quản lý và tích hợp vào Identity Firewall

• Tạo nhóm khachhang và thêm một user khachhang1 để kiểm tra luật áp dụng IDFW sau này

2. Cấu hình IDFW​

Chúng ta vào System > Identity Firewall AD > ADD ACTIVE DIRECTORY



Tạo LDAPP Server : một protocol dùng để truy cập, quản lý thông tin AD


Cấu hình Event Log Server để người dùng khi đăng nhập vào máy tính sẽ có log về NSX
Sau khi cấu hình xong



Ta tiếp tục vào mục Inventory > Groups > ADD GROUP


Chọn Computer Members và tìm AD Groups, sẽ xuất hiện phongban1 mình đã tạo ở bên AD.
Sau đó ta vào máy window Guest để add vào Domain.


Sau đó đợi reset và đăng nhập bằng tài khoảng khách hàng
Sau đó vào mục Inventory > Virtual Machines để kiểm tra xem máy ảo đó có user session khachhang k
Vậy là oke, ta tiếp tục áp thử DFW vào xem có được k.


kiểm tra cmd ssh vào
ta thử đổi user sang ketoan1 ssh vào thử.

Bình thường không bị chặn, vậy là thành công nha.