IDFW mejora el firewall tradicional al permitir reglas de firewall basadas en la identidad del usuario. Por ejemplo, los administradores pueden permitir o prohibir al personal de soporte técnico del cliente que acceda a una base de datos de Recursos Humanos con una sola directiva de firewall.
Las reglas del firewall basadas en identidad están determinadas por la pertenencia a un grupo Active Directory (AD). Tenga en cuenta que la OU con un usuario de AD y la OU con el grupo de AD en el que se encuentra ese usuario deben estar en "Unidades de organización para sincronizar" para que funcionen las reglas de IDFW. Consulte Configuraciones admitidas del firewall de identidad.
IDFW procesa la identidad del usuario en el origen únicamente en las reglas de firewall. Solo el tráfico que se origina en el origen en el que se procesa la identidad del usuario estará sujeto a las reglas de IDFW. Los grupos basados en identidad no se pueden utilizar como destino en las reglas de firewall de puerta de enlace y firewall distribuido.
Nota: Para aplicar la regla del firewall de identidad, el servicio hora de Windows debe estar
activado para todas las máquinas virtuales que utilicen Active Directory. De esta forma, se asegurará de que la fecha y la hora de Active Directory y de las máquinas virtuales estén sincronizadas. Los cambios en la pertenencia al grupo de AD (incluida la habilitación y eliminación de usuarios) no se aplican inmediatamente a los usuarios que hayan iniciado sesión. Para que los cambios se apliquen, los usuarios deben cerrar sesión y volver a iniciarla. Los administradores de AD deben forzar el cierre de sesión cuando se modifique la pertenencia al grupo. Este comportamiento es una limitación de Active Directory.
Requisitos previos
Si el inicio de sesión automático de Windows está habilitado en las máquinas virtuales, vaya a y habilite Esperar siempre a que se inicialice la red en el inicio del equipo y el inicio de sesión.
Para conocer las configuraciones de IDFW compatibles, consulte Configuraciones admitidas del firewall de identidad.
Procedimiento
- Habilite el controlador de introspección de archivos de NSX y el controlador de introspección de red de NSX (la instalación completa de VMware Tools los agrega de forma predeterminada) o la extracción de registros de eventos. Consulte Orígenes de registro de eventos del firewall de identidad.
La extracción de registros de eventos habilita IDFW para dispositivos físicos. La extracción de registros de eventos se puede utilizar para máquinas virtuales; sin embargo, guest introspection tendrá prioridad sobre la extracción de registros de eventos. Guest Introspection está habilitado a través de VMware Tools y, si utiliza la instalación completa VMware Tools e IDFW, guest introspection tendrá prioridad sobre la extracción de registros de eventos.
- Habilitar el firewall de identidad en DFW y GFW.
- Configure Active Directory (obligatorio) y la extracción de registros de eventos (opcional) Configurar Active Directory y la extracción de registros de eventos.
- Configure las operaciones de sincronización de Active Directory: Sincronizar Active Directory.
- Cree un grupo con los miembros del grupo de Active Directory: Agregar un grupo.
- Asigne un grupo con miembros del grupo de AD a una regla de firewall distribuido o una regla de firewall de puerta de enlace. Si crea una regla de DFW mediante Guest Introspection, asegúrese de que el campo Se aplica a se aplique al grupo de origen: Agregar un firewall distribuido. El campo Origen debe ser un grupo basado en AD.
Para cada regla de firewall de identidad que permita el tráfico de un grupo de usuarios a un destino, debe haber una regla de firewall distribuido o una regla de firewall de puerta de enlace correspondiente que permita el tráfico desde un grupo de máquinas hacia el mismo destino que se especifica en la regla de firewall de identidad. El grupo de máquinas especifica las máquinas en las que los usuarios de la regla de firewall de identidad iniciarán sesión.
Al configurar el firewall de identidad, la práctica recomendada es crear una regla que bloquee el tráfico de todos los usuarios a un destino y crear otra regla que permita el tráfico de un grupo específico de usuarios al mismo destino.
