IDFW potenzia il firewall tradizionale stabilendo regole firewall in base all'identità dell'utente. Ad esempio, gli amministratori possono consentire o impedire al personale dell'assistenza clienti di accedere a un database delle risorse umane con un singolo criterio firewall.

Le regole firewall basate sull'identità sono determinate dall'appartenenza a un gruppo Active Directory (AD). Vedere Configurazioni supportate dal firewall di identità.

IDFW elabora l'identità dell'utente all'origine solo nelle regole del firewall. I gruppi basati su identità non possono essere utilizzati come destinazione nelle regole del firewall distribuito e del firewall del gateway.

Nota: Per l'applicazione della regola del firewall di identità, il servizio Ora di Windows deve essere attivo per tutte le macchine virtuali che utilizzano Active Directory. In questo modo, la data e l'ora vengono sincronizzate tra Active Directory e le macchine virtuali. Le modifiche dell'appartenenza al gruppo di AD, tra cui l'abilitazione e l'eliminazione di utenti, non vengono applicate immediatamente per gli utenti che hanno effettuato l'accesso. Per rendere effettive le modifiche, gli utenti devono disconnettersi e quindi eseguire nuovamente l'accesso. L'amministratore di AD deve forzare la disconnessione quando viene modificata l'appartenenza al gruppo. Questo comportamento è una limitazione di Active Directory.

Prerequisiti

Se l'accesso automatico Windows è abilitato nelle macchine virtuali, fare clic su Criteri del computer locale > Configurazione computer > Modelli amministrativi > Sistema > Accesso e abilitare Attendi sempre disponibilità rete all'avvio e all'accesso.

Per le configurazioni IDFW supportate, vedere Configurazioni supportate dal firewall di identità.

Procedura

  1. Abilitare il driver NSX File Introspection e il driver NSX Network Introspection (VMware Tools l'installazione completa li aggiunge per impostazione predefinita) o la convalida del registro eventi. Vedere Origini del registro eventi del firewall di identità.

    Lo scraping del registro eventi abilita IDFW per i dispositivi fisici. Per le macchine virtuali è possibile utilizzare lo scraping del registro eventi, ma Guest Introspection avrà la precedenza sullo scraping del registro eventi. Guest Introspection è abilitata tramite VMware Tools e, se si utilizza l'installazione di VMware Tools completa e IDFW, Guest Introspection avrà la precedenza sullo scraping del registro eventi.

  2. Abilitazione del firewall di identità su DFW e GFW.
  3. Configurare Active Directory (obbligatorio) e lo scraping del registro eventi (facoltativo) Configurazione di Active Directory e dello scraping del registro eventi.
  4. Configurare le operazioni di sincronizzazione di Active Directory: Sincronizzazione di Active Directory.
  5. Creare un gruppo con i membri del gruppo Active Directory: Aggiunta di un gruppo.
  6. Assegnare il gruppo con i membri del gruppo di AD a una regola del firewall distribuito o a una regola del firewall del gateway. Se si crea una regola DFW utilizzando Guest Introspection, assicurarsi che il campo Si applica a sia applicabile al gruppo di destinazione: Aggiunta di un firewall distribuito. Il campo Origine deve essere un gruppo basato su AD.