Il firewall di identità consente la configurazione delle regole del firewall distribuito in base al gruppo di utenti di Active Directory.
Il firewall di identità consente la configurazione delle regole del firewall distribuito in base al gruppo di utenti di Active Directory.Il contesto dell'utente viene elaborato in corrispondenza dell'origine. IDFW deve sapere a quale desktop virtuale un utente Active Directory accede per applicare le regole firewall. L'identità dell'utente può essere utilizzata come origine nelle regole del firewall, non come destinazione. Sono disponibili due metodi per il rilevamento degli accessi:
- Guest Introspection (GI)
- Scraping del registro eventi
Blocco della configurazione della regola con Guest Introspection
- Abilitare il firewall di identità. Passare a .
- Una volta abilitato IDFW, è possibile abilitarlo in cluster specifici o in tutti gli host autonomi. Per questo esempio, abiliteremo IDFW nel cluster di elaborazione.
- Aggiungere un dominio Active Directory passando a . Gli utenti o i gruppi dell'AD verranno utilizzati nel campo di origine di una regola del firewall.
- Per creare un gruppo, passare a e fare clic su Aggiungi gruppo. Per questo esempio, verrà creato un gruppo chiamato Sviluppatori, con membri del gruppo AD. Questo gruppo verrà utilizzato nel campo di origine della regola del firewall.
- Creare un criterio IDFW per bloccare il traffico SSH per gli utenti che appartengono al gruppo AD Sviluppatori. Definizione regola: se <Qualsiasi utente nel gruppo AD Sviluppatori> accede a <qualsiasi destinazione su TCP 22/SSH>, l'accesso verrà rifiutato. Creare una regola del firewall con il gruppo Sviluppatori come Origine e l'azione come Rifiuta.
Nome regola Origine Destinazione Servizi Profili di contesto Si applica a Azione Blocca SSH per Sviluppatori Sviluppatori Qualsiasi SSH DFW Rifiuta
Consenti configurazione regola con Guest Introspection
- Abilitare il firewall di identità. Passare a .
- Una volta abilitato IDFW, è possibile abilitarlo in cluster specifici o in tutti gli host autonomi. Per questo esempio, abiliteremo IDFW nel cluster di elaborazione.
- Aggiungere un dominio Active Directory passando a . Gli utenti o i gruppi dell'AD verranno utilizzati nel campo di origine di una regola del firewall.
- Per creare un gruppo, passare a e fare clic su Aggiungi gruppo. Per questo esempio, verrà creato un gruppo chiamato NSX, con membri del gruppo di Active Directory. Questo gruppo verrà utilizzato nel campo di origine della regola del firewall.
- Creare un gruppo di sicurezza dinamico denominato Web in base ai criteri del nome della macchina virtuale.
- Creare due regole del firewall, una che consenta il traffico da un gruppo di utenti a una destinazione e una che blocchi tutti gli altri utenti alla stessa destinazione. Nell'esempio seguente, la prima regola, denominata Regola IDFW, presenta il gruppo NSX come l'origine, con la regola del firewall applicata alla macchina virtuale in cui accedono gli utenti. Questa regola del firewall non viene applicata ai membri del gruppo Web perché il contesto dell'utente IDFW viene elaborato all'origine. La seconda regola del firewall seguente elimina gli utenti di tutte le altre origini.
Nome regola Origine Destinazione Servizi Profili di contesto Si applica a Azione Regola IDFW NSX Web HTTPS Nessuno user-vm-01 Consenti Rifiuta tutto Qualsiasi Qualsiasi Qualsiasi Nessuno user-vm-01 Elimina
Consenti/Rifiuta configurazione regola con scraping del registro eventi
- Prerequisito: è innanzitutto necessario preparare il carico di lavoro fisico come nodo di trasporto NSX. Con questo approccio è possibile creare un server fisico come parte dell'inventario di NSX e, una volta che fa parte dell'inventario NSX, è possibile utilizzarlo nel campo "Applicato a" di DFW. Vedere "Preparazione dei server fisici come nodi di trasporto NSX" nella Guida all'installazione di NSX.
- Abilitare il firewall di identità. Passare a .
- Una volta abilitato IDFW, è possibile abilitarlo in cluster specifici o in tutti gli host autonomi. Per questo esempio, abiliteremo IDFW nel cluster di elaborazione.
- Aggiungere un dominio Active Directory passando a . Configurare un server registro eventi nell'Active Directory IDFW. Gli utenti o i gruppi dell'AD verranno utilizzati nel campo di origine di una regola del firewall.
- Attivare lo scraping del registro eventi passando a Quando si utilizza lo scraping del registri eventi, assicurarsi che NTP sia configurato correttamente su tutti i dispositivi. Lo scraping del registro eventi abilita IDFW per i dispositivi fisici. Per le macchine virtuali è possibile utilizzare lo scraping del registro eventi, ma Guest Introspection avrà la precedenza sullo scraping del registro eventi.
- Per creare un gruppo, passare a e fare clic su Aggiungi gruppo. Questo gruppo verrà utilizzato nel campo di origine della regola del firewall.
- Creare un gruppo di sicurezza dinamico denominato Web in base ai criteri del nome della macchina virtuale.
- Creare due regole del firewall, una che consenta il traffico da un gruppo di utenti a una destinazione e una che blocchi tutti gli altri utenti alla stessa destinazione. Nell'esempio seguente, la prima regola, denominata Regola IDFW, presenta il gruppo NSX come l'origine, con la regola del firewall applicata al JS-Fisico a cui accedono gli utenti. Questa regola del firewall non viene applicata ai membri del gruppo Web perché il contesto dell'utente IDFW viene elaborato all'origine. La seconda regola del firewall seguente elimina gli utenti di tutte le altre origini.
Nome regola Origine Destinazione Servizi Profili di contesto Si applica a Azione Regola IDFW NSX Web HTTPS Nessuno JS-Fisico Consenti Rifiuta tutto Qualsiasi Qualsiasi Nessuno Nessuno JS-Fisico Elimina
