El firewall de identidad habilita la configuración de reglas de firewall distribuido basadas en grupo de usuarios de Active Directory.
El firewall de identidad habilita la configuración de reglas de firewall distribuido basadas en grupo de usuarios de Active Directory. El contexto de usuario se procesa en el origen. IDFW debe saber en qué escritorio virtual inicia sesión un usuario de Active Directory para poder aplicar las reglas de firewall. La identidad del usuario se puede utilizar como origen en las reglas de firewall, no como destino. Existen dos métodos para la detección de inicio de sesión:
- Guest Introspection (GI)
- Extracción de registros de eventos
Configuración de reglas de bloqueo con Guest Introspection
- Habilite el firewall de identidad. Vaya a .
- Una vez habilitado el IDFW, tiene la opción de habilitarlo en clústeres específicos o en todos los hosts independientes. En este ejemplo, habilitaremos el IDFW en el clúster de proceso.
- Para agregar un dominio de Active Directory, desplácese hasta . Los usuarios o los grupos de AD se utilizarán en el campo de origen de una regla de firewall.
- Para crear un grupo, desplácese hasta Agregar grupo. En este ejemplo, crearemos un grupo llamado Desarrolladores con miembros del grupo de AD. Este grupo se utilizará en el campo de origen de la regla de firewall. y haga clic en
- Cree una directiva de IDFW para bloquear el tráfico SSH de los usuarios que pertenezcan al grupo de AD Desarrolladores. Definición de regla : Si <cualquier usuario del grupo de AD Desarrolladores> accede a <cualquier destino en TCP 22 / SSH>, se rechazará. Cree una regla de firewall con el grupo Desarrolladores como origen y la acción como Rechazar.
Nombre de regla Origen Destino Servicios Perfiles de contexto Se aplica a Acción Bloquear SSH para Desarrolladores Desarrolladores Cualquiera SSH DFW Rechazar
Permitir configuración de reglas con Guest Introspection
- Habilite el firewall de identidad. Vaya a .
- Una vez habilitado el IDFW, tiene la opción de habilitarlo en clústeres específicos o en todos los hosts independientes. En este ejemplo, habilitaremos el IDFW en el clúster de proceso.
- Para agregar un dominio de Active Directory, desplácese hasta . Los usuarios o los grupos de AD se utilizarán en el campo de origen de una regla de firewall.
- Para crear un grupo, desplácese hasta Agregar grupo. En este ejemplo, crearemos un grupo llamado NSX con miembros del grupo de Active Directory. Este grupo se utilizará en el campo de origen de la regla de firewall. y haga clic en
- Cree un grupo de seguridad dinámico llamado Web basado en criterios de nombre de máquina virtual.
- Cree dos reglas de firewall: una que permita el tráfico de un grupo de usuarios a un destino, y otra que bloquee el resto de usuarios al mismo destino. En el siguiente ejemplo, la primera regla, llamada Regla de IDFW, tiene el grupo NSX como origen, con la regla de firewall aplicada a la máquina virtual en la que los usuarios inician sesión. Esta regla de firewall no se aplica a los miembros del grupo Web porque el contexto del usuario de IDFW se procesa en el origen. La segunda regla de firewall abajo descarta usuarios de los demás orígenes.
Nombre de regla Origen Destino Servicios Perfiles de contexto Se aplica a Acción Regla de IDFW NSX Web HTTPS Ninguno user-vm-01 Permitir Negar todo Cualquiera Cualquiera Cualquiera Ninguno user-vm-01 Descartar
Configuración de reglas Permitir/Denegar con extracción de registros de eventos
- Requisito previo: Primero, la carga de trabajo física debe prepararse como un nodo de transporte de NSX. Con este enfoque, podemos hacer que un servidor físico forme parte del inventario de NSX y, una vez que forme parte del inventario de NSX, podemos utilizarlo en el campo "Se aplica a" de DFW. Consulte "Preparar servidores físicos como nodos de transporte de NSX" en la Guía de instalación de NSX.
- Habilite el firewall de identidad. Vaya a .
- Una vez habilitado el IDFW, tiene la opción de habilitarlo en clústeres específicos o en todos los hosts independientes. En este ejemplo, habilitaremos el IDFW en el clúster de proceso.
- Para agregar un dominio de Active Directory, desplácese hasta Servidor de registro de eventos en el directorio activo de IDFW. Los usuarios o los grupos de AD se utilizarán en el campo de origen de una regla de firewall. . Configure un
- Para activar la extracción de registros de eventos, desplácese hasta . Cuando utilice la extracción de registros de eventos, asegúrese de que NTP esté configurado correctamente en todos los dispositivos. La extracción de registros de eventos habilita IDFW para dispositivos físicos. La extracción de registros de eventos se puede utilizar para máquinas virtuales; sin embargo, Guest Introspection tendrá prioridad sobre la extracción de registros de eventos.
- Para crear un grupo, desplácese hasta Agregar grupo. Este grupo se utilizará en el campo de origen de la regla de firewall. y haga clic en
- Cree un grupo de seguridad dinámico llamado Web basado en criterios de nombre de máquina virtual.
- Cree dos reglas de firewall: una que permita el tráfico de un grupo de usuarios a un destino, y otra que bloquee el resto de usuarios al mismo destino. En el siguiente ejemplo, la primera regla, llamada Regla de IDFW, tiene el grupo NSX como origen, con la regla de firewall aplicada al JS-Physical en la que los usuarios inician sesión. Esta regla de firewall no se aplica a los miembros del grupo Web porque el contexto del usuario de IDFW se procesa en el origen. La segunda regla de firewall abajo descarta usuarios de los demás orígenes.
Nombre de regla Origen Destino Servicios Perfiles de contexto Se aplica a Acción Regla de IDFW NSX Web HTTPS Ninguno JS-Physical Permitir Negar todo Cualquiera Cualquiera Ninguno Ninguno JS-Physical Descartar