IDFW améliore le pare-feu traditionnel en autorisant les règles de pare-feu basées sur l'identité de l'utilisateur. Par exemple, les administrateurs peuvent autoriser le personnel du service client à accéder à une base de données RH avec une stratégie de pare-feu unique, ou le lui interdire.

Les règles de pare-feu basées sur l'identité sont déterminées par appartenance dans une appartenance de groupe Active Directory (AD). Reportez-vous à la section Configurations prises en charge par le pare-feu d'identité.

Note : Le protocole SMB n'est pas pris en charge avec les règles de pare-feu d'identité. Le trafic CIFS/SMB ne peut pas être filtré en fonction des règles IDFW. Ce trafic doit être sécurisé à l'aide de règles de pare-feu distribué.

IDFW traite l'identité de l'utilisateur à la source uniquement dans les règles de pare-feu distribué. Les groupes basés sur l'identité ne peuvent pas être utilisés comme destination dans les règles DFW.

Note : Pour l'application des règles de pare-feu d'identité, le service de temps Windows doit être activé pour toutes les VM utilisant Active Directory. Cela garantit que la date et l'heure sont synchronisées entre Active Directory et les VM. Les modifications apportées à l'appartenance au groupe AD, y compris l'activation et la suppression d'utilisateurs, ne prennent pas immédiatement effet pour les utilisateurs connectés. Pour que les modifications prennent effet, les utilisateurs doivent fermer puis rouvrir leur session. L'administrateur AD doit forcer la fermeture de session lorsque l'appartenance au groupe est modifiée. Ce comportement est une limite d'Active Directory.

Conditions préalables

Si l'ouverture de session automatique Windows est activée sur les machines virtuelles, accédez à Stratégie de l'ordinateur local > Configuration ordinateur > Modèles d'administration > Système > Ouverture de session et activez Toujours attendre le réseau lors du démarrage de l'ordinateur et de l'ouverture de session .

Pour les configurations d'IDFW prises en charge, reportez-vous à la section Configurations prises en charge par le pare-feu d'identité.

Procédure

  1. Activez le pilote d'introspection de fichiers NSX et le pilote d'introspection réseau NSX. L'installation complète de VMware Tools ajoute ces pilotes par défaut.
  2. Activez IDFW sur un cluster ou un hôte autonome : Activer le pare-feu d'identité.
  3. Configurez le domaine Active Directory : Ajout d'Active Directory.
  4. Configurez des opérations de synchronisation Active Directory : Synchroniser Active Directory.
  5. Créez des groupes de sécurité avec des membres du groupe Active Directory : Ajouter un groupe.
  6. Attribuez un groupe de sécurité avec des membres du groupe AD à une règle de pare-feu distribué : Ajouter un pare-feu distribué.