IDFW はユーザー ID に基づいてファイアウォールを許可することにより、従来のファイアウォールを強化します。たとえば、管理者は単一のファイアウォール ポリシーを使用して、カスタマー サポートのスタッフに人事データベースへのアクセスを許可または禁止することができます。

ID ベースのファイアウォール ルールは、Active Directory (AD) グループのメンバーシップによって決定されます。Identity Firewall でサポートされる構成 を参照してください。

注: Identity Firewall ルールでは、SMB プロトコルはサポートされません。IDFW ルールに基づいて CIFS/SMB トラフィックをフィルタリングすることはできません。このトラフィックは、分散ファイアウォール ルールを使用して保護する必要があります。

IDFW は、分散ファイアウォール ルールでのみ、送信元でユーザー ID を処理します。ID ベースのグループは、DFW ルールの宛先として使用できません。

注: Identity Firewall ルールを適用する場合、Active Directory を使用するすべての仮想マシンで Windows Time サービスを [有効] にする必要があります。これにより、Active Directory と仮想マシン間で日付と時刻が同期されるようになります。ユーザーの有効化や削除などの Active Directory グループ メンバーシップの変更は、ログインしているユーザーにすぐに反映されません。ユーザーに変更を反映させるには、ログオフして再度ログインする必要があります。グループ メンバーシップが変更されたときに、Active Directory 管理者がログアウトを強制的に実行することをおすすめします。これは、Active Directory の制限が原因で発生しています。

前提条件

仮想マシンで Windows 自動ログインが有効になっている場合は、[ローカル コンピューター ポリシー] > [コンピューターの構成] > [管理テンプレート] > [システム] > [ログオン] の順に移動して、[コンピューターの起動およびログオンで常にネットワークを待つ] を有効にします。

サポートされている IDFW 構成については、Identity Firewall でサポートされる構成を参照してください。

手順

  1. NSX ファイル イントロスペクション ドライバと NSX ネットワーク イントロスペクション ドライバを有効にします。VMware Tools の完全インストールを行うと、これらがデフォルトで追加されます。
  2. クラスタまたはスタンドアローン ホストで IDFW を有効にします(Identity Firewall の有効化)。
  3. Active Directory ドメインを構成します(Active Directory の追加)。
  4. Active Directory 同期操作を構成します(Active Directory の同期)。
  5. Active Directory グループ メンバーを含むセキュリティ グループ (SG) を作成します(グループの追加)。
  6. Active Directory グループ メンバーを含む SG を分散ファイアウォール ルールに割り当てます(分散ファイアウォールの追加)。