IDFW potenzia il firewall tradizionale stabilendo regole firewall in base all'identità dell'utente. Ad esempio, gli amministratori possono consentire o impedire al personale dell'assistenza clienti di accedere a un database delle risorse umane con un singolo criterio firewall.

Le regole firewall basate sull'identità sono determinate dall'appartenenza a un gruppo Active Directory (AD). Si noti che l'Unità organizzativa con un utente AD e l'Unità organizzativa con il gruppo AD in cui si trova l'utente devono essere entrambe aggiunte in Unità organizzative da sincronizzare affinché le regole IDFW funzionino. Vedere Configurazioni supportate dal firewall di identità.

IDFW elabora l'identità dell'utente all'origine solo nelle regole del firewall. Solo il traffico proveniente dall'origine in cui viene elaborata l'identità utente sarà soggetto alle regole IDFW. I gruppi basati su identità non possono essere utilizzati come destinazione nelle regole del firewall.

Nota: Per l'applicazione della regola del firewall di identità, il servizio Ora di Windows deve essere attivo per tutte le macchine virtuali che utilizzano Active Directory. In questo modo, la data e l'ora vengono sincronizzate tra Active Directory e le macchine virtuali. Le modifiche dell'appartenenza al gruppo di AD, tra cui l'abilitazione e l'eliminazione di utenti, non vengono applicate immediatamente per gli utenti che hanno effettuato l'accesso. Per rendere effettive le modifiche, gli utenti devono disconnettersi e quindi eseguire nuovamente l'accesso. L'amministratore di AD deve forzare la disconnessione quando viene modificata l'appartenenza al gruppo. Questo comportamento è una limitazione di Active Directory.

Prerequisiti

Se l'accesso automatico Windows è abilitato nelle macchine virtuali, fare clic su Criteri del computer locale > Configurazione computer > Modelli amministrativi > Sistema > Accesso e abilitare Attendi sempre disponibilità rete all'avvio e all'accesso.

Per le configurazioni IDFW supportate, vedere Configurazioni supportate dal firewall di identità.

Procedura

  1. Abilitare il driver NSX File Introspection e il driver NSX Network Introspection (VMware Tools l'installazione completa li aggiunge per impostazione predefinita) o la convalida del registro eventi. Vedere Origini del registro eventi del firewall di identità.

    Lo scraping del registro eventi abilita IDFW per i dispositivi fisici. Per le macchine virtuali è possibile utilizzare lo scraping del registro eventi, ma Guest Introspection avrà la precedenza sullo scraping del registro eventi. Guest Introspection è abilitata tramite VMware Tools e, se si utilizza l'installazione di VMware Tools completa e IDFW, Guest Introspection avrà la precedenza sullo scraping del registro eventi.

  2. Abilitazione del firewall di identità su DFW e GFW.
  3. Configurare Active Directory (obbligatorio) e lo scraping del registro eventi (facoltativo) Configurazione di Active Directory e dello scraping del registro eventi.
  4. Configurare le operazioni di sincronizzazione di Active Directory: Sincronizzazione di Active Directory.
  5. Creare un gruppo con i membri del gruppo Active Directory: Aggiunta di un gruppo.
  6. Assegnare il gruppo con i membri del gruppo di AD a una regola del firewall distribuito o a una regola del firewall del gateway. Se si crea una regola DFW utilizzando Guest Introspection, assicurarsi che il campo Si applica a sia applicabile al gruppo di destinazione: Aggiunta di un firewall distribuito. Il campo Origine deve essere un gruppo basato su AD.
    Per ogni regola del firewall di identità che consente il traffico da un gruppo di utenti a una destinazione, deve essere presente una regola del firewall distribuito o una regola del firewall del gateway corrispondente che consenta il traffico da un gruppo di macchine alla stessa destinazione specificata nella regola del firewall di identità. Il gruppo di macchine specifica le macchine a cui gli utenti della regola del firewall di identità accederanno.

    Quando si configura un firewall di identità, la procedura consigliata è creare una regola che blocchi il traffico da tutti gli utenti a una destinazione e un'altra regola che consenta il traffico per un gruppo di utenti specifico alla stessa destinazione.