IDFW améliore le pare-feu traditionnel en autorisant les règles de pare-feu basées sur l'identité de l'utilisateur. Par exemple, les administrateurs peuvent autoriser le personnel du service client à accéder à une base de données RH avec une stratégie de pare-feu unique, ou le lui interdire.

Les règles de pare-feu basées sur l'identité sont déterminées par appartenance dans une appartenance de groupe Active Directory (AD). Reportez-vous à la section Configurations prises en charge par le pare-feu d'identité.

IDFW traite l'identité de l'utilisateur sur la source uniquement dans les règles de pare-feu. Les groupes basés sur l'identité ne peuvent pas être utilisés comme destination dans les règles de pare-feu distribué et de pare-feu de passerelle.

Note : Pour l'application des règles de pare-feu d'identité, le service de temps Windows doit être activé pour toutes les VM utilisant Active Directory. Cela garantit que la date et l'heure sont synchronisées entre Active Directory et les VM. Les modifications apportées à l'appartenance au groupe AD, y compris l'activation et la suppression d'utilisateurs, ne prennent pas immédiatement effet pour les utilisateurs connectés. Pour que les modifications prennent effet, les utilisateurs doivent fermer puis rouvrir leur session. L'administrateur AD doit forcer la fermeture de session lorsque l'appartenance au groupe est modifiée. Ce comportement est une limite d'Active Directory.

Conditions préalables

Si l'ouverture de session automatique Windows est activée sur les machines virtuelles, accédez à Stratégie de l'ordinateur local > Configuration ordinateur > Modèles d'administration > Système > Ouverture de session et activez Toujours attendre le réseau lors du démarrage de l'ordinateur et de l'ouverture de session .

Pour les configurations d'IDFW prises en charge, reportez-vous à la section Configurations prises en charge par le pare-feu d'identité.

Procédure

  1. Activez le pilote d'introspection de fichiers NSX et le pilote d'introspection réseau NSX (l'installation complète de VMware Tools les ajoute par défaut) ou l'analyse de journaux d'événements. Reportez-vous à la section Sources du journal des événements du pare-feu d'identité.

    Le prélèvement de journaux des événements active IDFW pour les dispositifs physiques. Le prélèvement de journaux des événements peut être utilisé pour les machines virtuelles, mais Guest Introspection est prioritaire sur le prélèvement de journaux des événements. Guest Introspection est activé via VMware Tools et, si vous utilisez l'installation complète VMware Tools et IDFW, Guest Introspection sera prioritaire sur le prélèvement de journaux des événements.

  2. Activer le pare-feu d'identité sur DFW et GFW.
  3. Configurez l'analyse d'Active Directory (requise) et des journaux d'événements (facultative) Configuration d'Active Directory et du prélèvement de journaux des événements.
  4. Configurez des opérations de synchronisation Active Directory : Synchroniser Active Directory.
  5. Créez un groupe avec les membres du groupe Active Directory : Ajouter un groupe.
  6. Attribuez un groupe avec des membres du groupe AD à une règle de pare-feu distribué ou à une règle de pare-feu de passerelle. Si vous créez une règle DFW à l'aide de Guest Introspection, assurez-vous que le champ Appliqué à s'applique au groupe de destination : Ajouter un pare-feu distribué. Le champ Source doit être un groupe basé sur AD.