Les fonctionnalités d'Identity Firewall permettent à un administrateur NSX de créer des règles DFW basées sur l'utilisateur Active Directory.
La configuration d'IDFW commence par la préparation de l'infrastructure. Pour cela, l'administrateur installe les composants de préparation de l'hôte sur chaque cluster protégé et configure la synchronisation Active Directory pour que NSX puisse consommer des utilisateurs et des groupes AD. Ensuite, IDFW doit savoir à quel poste de travail un utilisateur Active Directory (AD) se connecte pour appliquer des règles DFW. IDFW utilise deux méthodes pour la détection de connexion : Guest introspection (GI) et/ou l'analyseur de journaux d'événements Active Directory. Guest introspection est déployé sur des clusters ESXi sur lesquels des machines virtuelles IDFW sont exécutées. Lorsque des événements réseau sont générés par un utilisateur, un agent invité installé sur la VM transfère les informations via l'infrastructure de Guest introspection à NSX Manager. La seconde option est l'analyseur de journaux d'événements Active Directory. Configurez l'analyseur de journaux d'événements Active Directory dans NSX Manager pour qu'il pointe sur une instance de votre contrôleur de domaine Active Directory. NSX Manager retire ensuite les événements du journal des événements de sécurité AD. Vous pouvez utiliser les deux dans votre environnement, ou bien l'un ou l'autre. Lorsque l'analyseur de journaux AD et Guest introspection sont utilisés, Guest introspection est prioritaire. Notez que si l'analyseur de journaux d'événements AD et Guest introspection sont tous deux utilisés, ils s'excluent mutuellement : si l'un cesse de fonctionner, l'autre ne commence pas à fonctionner comme solution de secours.
Lorsque l'infrastructure est préparée, l'administrateur crée des groupes de sécurité NSX et ajoute les nouveaux groupes AD disponibles (appelés groupes de répertoires). L'administrateur peut ensuite créer des stratégies de sécurité avec des règles de pare-feu associées et appliquer ces stratégies aux nouveaux groupes de sécurité créés. Maintenant, lorsqu'un utilisateur se connecte à un poste de travail, le système détecte cet événement avec l'adresse IP utilisée, recherche la stratégie de pare-feu associée à cet utilisateur et transfère ces règles. Cela fonctionne pour les postes de travail physiques et virtuels. Pour les postes de travail physiques, l'analyseur de journaux des événements AD est également requis pour détecter qu'un utilisateur est connecté à un poste de travail physique.
Le pare-feu d'identité peut être utilisé pour la microsegmentation avec des sessions de poste de travail distant (RDSH), l'activation de connexions simultanées par plusieurs utilisateurs, l'accès aux applications d'utilisateur en fonction de conditions requises et la possibilité de maintenir des environnements utilisateur indépendants. Le pare-feu d'identité avec des sessions de poste de travail distant nécessite Active Directory.
Pour voir les systèmes d'exploitation Windows pris en charge, reportez-vous à la section Configurations testées et prises en charge du pare-feu d'identité. Notez que les systèmes d'exploitation Linux ne sont pas pris en charge pour le pare-feu d'identité.