IDFW améliore le pare-feu traditionnel en autorisant les règles de pare-feu basées sur l'identité de l'utilisateur. Par exemple, les administrateurs peuvent autoriser le personnel du service client à accéder à une base de données RH avec une stratégie de pare-feu unique, ou le lui interdire.
Les règles de pare-feu basées sur l'identité sont déterminées par appartenance dans une appartenance de groupe Active Directory (AD). Notez que l'unité d'organisation avec un utilisateur AD et l'unité d'organisation avec le groupe AD dans lequel se trouve l'utilisateur doivent être ajoutées dans les unités d'organisation à synchroniser pour que les règles IDFW fonctionnent. Reportez-vous à la section Configurations prises en charge par le pare-feu d'identité.
IDFW traite l'identité de l'utilisateur sur la source uniquement dans les règles de pare-feu. Seul le trafic provenant de la source dans laquelle l'identité de l'utilisateur est traitée sera soumis aux règles IDFW. Les groupes basés sur l'identité ne peuvent pas être utilisés comme destination dans les règles de pare-feu distribué et de pare-feu de passerelle.
Note : Pour l'application des règles de pare-feu d'identité, le service de temps Windows doit être
activé pour toutes les VM utilisant Active Directory. Cela garantit que la date et l'heure sont synchronisées entre Active Directory et les VM. Les modifications apportées à l'appartenance au groupe AD, y compris l'activation et la suppression d'utilisateurs, ne prennent pas immédiatement effet pour les utilisateurs connectés. Pour que les modifications prennent effet, les utilisateurs doivent fermer puis rouvrir leur session. L'administrateur AD doit forcer la fermeture de session lorsque l'appartenance au groupe est modifiée. Ce comportement est une limite d'Active Directory.
Conditions préalables
Si l'ouverture de session automatique Windows est activée sur les machines virtuelles, accédez à et activez Toujours attendre le réseau lors du démarrage de l'ordinateur et de l'ouverture de session .
Pour les configurations d'IDFW prises en charge, reportez-vous à la section Configurations prises en charge par le pare-feu d'identité.
Procédure
- Activez le pilote d'introspection de fichiers NSX et le pilote d'introspection réseau NSX (l'installation complète de VMware Tools les ajoute par défaut) ou l'analyse de journaux d'événements. Reportez-vous à la section Sources du journal des événements du pare-feu d'identité.
Le prélèvement de journaux des événements active IDFW pour les dispositifs physiques. Le prélèvement de journaux des événements peut être utilisé pour les machines virtuelles, mais Guest Introspection est prioritaire sur le prélèvement de journaux des événements. Guest Introspection est activé via VMware Tools et, si vous utilisez l'installation complète VMware Tools et IDFW, Guest Introspection sera prioritaire sur le prélèvement de journaux des événements.
- Activer le pare-feu d'identité sur DFW et GFW.
- Configurez l'analyse d'Active Directory (requise) et des journaux d'événements (facultative) Configuration d'Active Directory et du prélèvement de journaux des événements.
- Configurez des opérations de synchronisation Active Directory : Synchroniser Active Directory.
- Créez un groupe avec les membres du groupe Active Directory : Ajouter un groupe.
- Attribuez un groupe avec des membres du groupe AD à une règle de pare-feu distribué ou à une règle de pare-feu de passerelle. Si vous créez une règle DFW à l'aide de Guest Introspection, assurez-vous que le champ Appliqué à s'applique au groupe source : Ajouter un pare-feu distribué. Le champ Source doit être un groupe basé sur AD.
Pour chaque règle de pare-feu d'identité qui autorise le trafic d'un groupe d'utilisateurs vers une destination, il doit y avoir une règle de pare-feu distribué ou une règle de pare-feu de passerelle correspondante qui autorise le trafic d'un groupe de machines vers la même destination que celle spécifiée dans la règle de pare-feu d'identité. Le groupe de machines spécifie les machines auxquelles les utilisateurs de la règle de pare-feu d'identité se connecteront.
Lors de la configuration du pare-feu d'identité, il est recommandé de créer une règle qui bloque le trafic de tous les utilisateurs vers une destination et de créer une autre règle qui autorise le trafic pour un groupe spécifique d'utilisateurs vers la même destination.