Le pare-feu d'identité permet de configurer des règles de pare-feu distribué basées sur le groupe d'utilisateurs Active Directory.
Le pare-feu d'identité permet de configurer des règles de pare-feu distribué basées sur le groupe d'utilisateurs Active Directory. Le contexte de l'utilisateur est traité à la source. IDFW doit savoir à quel poste de travail virtuel un utilisateur Active Directory se connecte pour appliquer des règles de pare-feu. L'identité de l'utilisateur peut être utilisée comme source dans les règles de pare-feu, pas comme destination. Il existe deux méthodes de détection d'ouverture de session :
- Guest Introspection (GI)
- Prélèvement du journal des événements
Configuration des règles de bloc avec Guest Introspection
- Activer le pare-feu d'identité. Accédez à .
- Une fois IDFW activé, il est possible de l'activer sur des clusters spécifiques ou sur tous les hôtes autonomes. Pour cet exemple, nous allons activer IDFW sur le cluster de calcul.
- Ajoutez un domaine Active Directory en accédant à . Les utilisateurs ou les groupes d'AD seront utilisés dans le champ source d'une règle de pare-feu.
- Créez un groupe en accédant à et cliquez sur Ajouter un groupe. Pour cet exemple, nous allons créer un groupe appelé Développeurs, avec des membres du groupe AD. Ce groupe sera utilisé dans le champ source de la règle de pare-feu.
- Créez une stratégie IDFW pour bloquer le trafic SSH pour les utilisateurs qui appartiennent au groupe AD développeurs. Définition de la règle : si <Tout utilisateur dans le groupe Développeurs AD > accède <à la destination de l'entreprise sur TCP 22/SSH>, il sera rejeté. Créez une règle de pare-feu avec le groupe Développeurs comme Source et l'action Rejeter.
Nom de la règle Source Destination Services Profils de contexte Appliqué à Action Bloquer SSH pour les développeurs Développeurs Quelconque SSH DFW Rejeter
Autoriser la configuration de règles avec Guest Introspection
- Activer le pare-feu d'identité. Accédez à .
- Une fois IDFW activé, il est possible de l'activer sur des clusters spécifiques ou sur tous les hôtes autonomes. Pour cet exemple, nous allons activer IDFW sur le cluster de calcul.
- Ajoutez un domaine Active Directory en accédant à . Les utilisateurs ou les groupes d'AD seront utilisés dans le champ source d'une règle de pare-feu.
- Créez un groupe en accédant à et cliquez sur Ajouter un groupe. Pour cet exemple, nous allons créer un groupe appelé NSX, avec des membres du groupe Active Directory. Ce groupe sera utilisé dans le champ source de la règle de pare-feu.
- Créez un groupe de sécurité dynamique nommé Web en fonction des critères de nom de machine virtuelle.
- Créez deux règles de pare-feu : une qui autorise le trafic d'un groupe d'utilisateurs vers une destination et une autre qui bloque tous les autres utilisateurs vers la même destination. Dans l'exemple ci-dessous, la première règle, nommée Règle IDFW, a le groupe NSX comme source, avec la règle de pare-feu appliquée à la machine virtuelle sur laquelle les utilisateurs se connectent. Cette règle de pare-feu n'est pas appliquée aux membres du groupe Web, car le contexte utilisateur IDFW est traité à la source. La deuxième règle de pare-feu ci-dessous abandonne les utilisateurs de toutes les autres sources.
Nom de la règle Source Destination Services Profils de contexte Appliqué à Action Règle IDFW NSX Web HTTPS Aucun user-vm-01 Autoriser Tout refuser Quelconque Quelconque Quelconque Aucun user-vm-01 Annuler
Autoriser/Refuser la configuration de règles avec l'analyseur de journaux des événements
- Condition préalable : la charge de travail physique doit d'abord être préparée en tant que nœud de transport NSX. Avec cette approche, nous pouvons créer un serveur physique dans l'inventaire NSX, et une fois qu'il fait partie de l'inventaire NSX, nous pouvons l'utiliser dans le champ « Appliqué à » de DFW. Reportez-vous à la section « Préparation de serveurs physiques en tant que nœuds de transport NSX » dans le Guide d'installation de NSX.
- Activer le pare-feu d'identité. Accédez à .
- Une fois IDFW activé, il est possible de l'activer sur des clusters spécifiques ou sur tous les hôtes autonomes. Pour cet exemple, nous allons activer IDFW sur le cluster de calcul.
- Ajoutez un domaine Active Directory en accédant à . Configurez un serveur de journaux d'événements à votre annuaire Active Directory IDFW. Les utilisateurs ou les groupes d'AD seront utilisés dans le champ source d'une règle de pare-feu.
- Activez l'analyseur de journaux d'événements en accédant à Lors de l'utilisation du prélèvement de journaux des événements, assurez-vous que NTP est correctement configuré sur tous les périphériques. Le prélèvement de journaux des événements active IDFW pour les dispositifs physiques. Le prélèvement de journaux des événements peut être utilisé pour les machines virtuelles, mais Guest Introspection est prioritaire sur le prélèvement de journaux des événements.
- Créez un groupe en accédant à et cliquez sur Ajouter un groupe. Ce groupe sera utilisé dans le champ source de la règle de pare-feu.
- Créez un groupe de sécurité dynamique nommé Web en fonction des critères de nom de machine virtuelle.
- Créez deux règles de pare-feu : une qui autorise le trafic d'un groupe d'utilisateurs vers une destination et une autre qui bloque tous les autres utilisateurs vers la même destination. Dans l'exemple ci-dessous, la première règle, nommée Règle IDFW, a le groupe NSX comme source, avec la règle de pare-feu appliquée au JS-Physical sur lequel les utilisateurs se connectent. Cette règle de pare-feu n'est pas appliquée aux membres du groupe Web, car le contexte utilisateur IDFW est traité à la source. La deuxième règle de pare-feu ci-dessous abandonne les utilisateurs de toutes les autres sources.
Nom de la règle Source Destination Services Profils de contexte Appliqué à Action Règle IDFW NSX Web HTTPS Aucun JS- Physique Autoriser Tout refuser Quelconque Quelconque Aucun Aucun JS- Physique Annuler
