IDFW mejora el firewall tradicional al permitir reglas de firewall basadas en la identidad del usuario. Por ejemplo, los administradores pueden permitir o prohibir al personal de soporte técnico del cliente que acceda a una base de datos de Recursos Humanos con una sola directiva de firewall.

Las reglas del firewall basadas en identidad están determinadas por la pertenencia a un grupo Active Directory (AD). Consulte Configuraciones admitidas del firewall de identidad.

IDFW procesa la identidad del usuario en el origen únicamente en las reglas de firewall. Los grupos basados en identidad no se pueden utilizar como destino en las reglas de firewall.

Nota: Para aplicar la regla del firewall de identidad, el servicio hora de Windows debe estar activado para todas las máquinas virtuales que utilicen Active Directory. De esta forma, se asegurará de que la fecha y la hora de Active Directory y de las máquinas virtuales estén sincronizadas. Los cambios en la pertenencia al grupo de AD (incluida la habilitación y eliminación de usuarios) no se aplican inmediatamente a los usuarios que hayan iniciado sesión. Para que los cambios se apliquen, los usuarios deben cerrar sesión y volver a iniciarla. Los administradores de AD deben forzar el cierre de sesión cuando se modifique la pertenencia al grupo. Este comportamiento es una limitación de Active Directory.

Requisitos previos

Si el inicio de sesión automático de Windows está habilitado en las máquinas virtuales, vaya a Directiva de equipo local > Configuración del equipo > Plantillas administrativas > Sistema > Inicio de sesión y habilite Esperar siempre a que se inicialice la red en el inicio del equipo y el inicio de sesión.

Para ver las configuraciones de IDFW admitidas, consulte Configuraciones admitidas del firewall de identidad.

Procedimiento

  1. Habilite el controlador de introspección de archivos de NSX y el controlador de introspección de red de NSX (la instalación completa de VMware Tools los agrega de forma predeterminada) o la extracción de registros de eventos. Consulte Orígenes de registro de eventos del firewall de identidad.

    La extracción de registros de eventos habilita IDFW para dispositivos físicos. La extracción de registros de eventos se puede utilizar para máquinas virtuales; sin embargo, guest introspection tendrá prioridad sobre la extracción de registros de eventos. Guest Introspection está habilitado a través de VMware Tools y, si utiliza la instalación completa VMware Tools e IDFW, guest introspection tendrá prioridad sobre la extracción de registros de eventos.

  2. Habilitar el firewall de identidad en DFW y GFW.
  3. (opcional): Configurar Active Directory y la extracción de registros de eventos.
  4. Configure las operaciones de sincronización de Active Directory: Sincronizar Active Directory.
  5. Cree grupos de seguridad (Security Groups, SG) con los miembros del grupo de Active Directory: Agregar un grupo.
  6. Asigne un grupo de seguridad con miembros del grupo de AD a una regla de firewall distribuido o una regla de firewall de puerta de enlace. Si crea una regla de DFW mediante Guest Introspection, asegúrese de que el campo Se aplica a se aplique al grupo de destino: Agregar un firewall distribuido. El campo Origen debe ser un grupo basado en AD.