IDFW mejora el firewall tradicional al permitir reglas de firewall basadas en la identidad del usuario. Por ejemplo, los administradores pueden permitir o prohibir al personal de soporte técnico del cliente que acceda a una base de datos de Recursos Humanos con una sola directiva de firewall.

Las reglas del firewall basadas en identidad están determinadas por la pertenencia a un grupo Active Directory (AD). Consulte Configuraciones admitidas del firewall de identidad.

Nota: El protocolo SMB no es compatible con las reglas de firewall de identidad. El tráfico CIFS/SMB no se puede filtrar en función de las reglas de IDFW. Este tráfico debe protegerse con reglas de firewall distribuido.

IDFW procesa la identidad del usuario en el origen únicamente en las reglas de firewall distribuido. Los grupos basados en identidad no se pueden utilizar como destino en las reglas de DFW.

Nota: Para aplicar la regla del firewall de identidad, el servicio hora de Windows debe estar activado para todas las máquinas virtuales que utilicen Active Directory. De esta forma, se asegurará de que la fecha y la hora de Active Directory y de las máquinas virtuales estén sincronizadas. Los cambios en la pertenencia al grupo de AD (incluida la habilitación y eliminación de usuarios) no se aplican inmediatamente a los usuarios que hayan iniciado sesión. Para que los cambios se apliquen, los usuarios deben cerrar sesión y volver a iniciarla. Los administradores de AD deben forzar el cierre de sesión cuando se modifique la pertenencia al grupo. Este comportamiento es una limitación de Active Directory.

Requisitos previos

Si el inicio de sesión automático de Windows está habilitado en las máquinas virtuales, vaya a Directiva de equipo local > Configuración del equipo > Plantillas administrativas > Sistema > Inicio de sesión y habilite Esperar siempre a que se inicialice la red en el inicio del equipo y el inicio de sesión.

Para ver las configuraciones de IDFW admitidas, consulte Configuraciones admitidas del firewall de identidad.

Procedimiento

  1. Habilite el controlador de introspección de archivos de NSX y el controlador de introspección de red de NSX. La instalación completa de VMware Tools se agrega de forma predeterminada.
  2. Habilite IDFW en clúster o en un host independiente: Habilitar firewall de identidad.
  3. Configure el dominio de Active Directory: Agregar una instancia de Active Directory.
  4. Configure las operaciones de sincronización de Active Directory: Sincronizar Active Directory.
  5. Cree grupos de seguridad (Security Groups, SG) con los miembros del grupo de Active Directory: Agregar un grupo.
  6. Asigne SG con miembros del grupo de AD a una regla de firewall distribuido: Agregar un firewall distribuido.