IDFW はユーザー ID に基づいてファイアウォールを許可することにより、従来のファイアウォールを強化します。たとえば、管理者は単一のファイアウォール ポリシーを使用して、カスタマー サポートのスタッフに人事データベースへのアクセスを許可または禁止することができます。
ID ベースのファイアウォール ルールは、Active Directory (AD) グループのメンバーシップによって決定されます。IDFW ルールを機能させるために、Active Directory ユーザーを含む OU と、そのユーザーが存在する Active Directory グループを含む OU の両方を、[同期する部門名] に追加する必要があります。「Identity Firewall でサポートされる構成」を参照してください。
IDFW は、ファイアウォール ルールでのみ、送信元でユーザー ID を処理します。ユーザー ID が処理される送信元で送信されたトラフィックのみが IDFW ルールの対象となります。ID ベースのグループは、ファイアウォール ルールの宛先として使用できません。
注: Identity Firewall ルールを適用する場合、Active Directory を使用するすべての仮想マシンで Windows Time サービスを
[有効] にする必要があります。これにより、Active Directory と仮想マシン間で日付と時刻が同期されるようになります。ユーザーの有効化や削除などの Active Directory グループ メンバーシップの変更は、ログインしているユーザーにすぐに反映されません。ユーザーに変更を反映させるには、ログオフして再度ログインする必要があります。グループ メンバーシップが変更されたときに、Active Directory 管理者がログアウトを強制的に実行することをおすすめします。これは、Active Directory の制限が原因で発生しています。
前提条件
仮想マシンで Windows 自動ログインが有効になっている場合は、 の順に移動して、[コンピューターの起動およびログオンで常にネットワークを待つ] を有効にします。
サポートされている IDFW 構成については、Identity Firewall でサポートされる構成を参照してください。
手順
- NSX ファイル イントロスペクション ドライバと NSX ネットワーク イントロスペクション ドライバ(デフォルトでは VMware Tools のフル インストールで追加されます)、またはイベント ログ スクレイピングを有効にします。「Identity Firewall イベント ログ ソース」を参照してください。
イベント ログ スクレイピングにより、物理デバイスの IDFW が有効になります。仮想マシンではイベント ログ スクレイピングを使用できますが、ゲスト イントロスペクションはイベント ログ スクレイピングよりも優先されます。ゲスト イントロスペクションは VMware Tools を使用して有効になります。完全なVMware Tools インストールと IDFW を使用している場合、ゲスト イントロスペクションはイベント ログ スクレイピングよりも優先されます。
- (DFW および GFW での Identity Firewall の有効化 で)と呼ばれます。
- Active Directory とイベント ログ スクレイピング(Active Directory とイベント ログ スクレイピングの構成)を構成します。前者は必須、後者はオプションです。
- Active Directory 同期操作を構成します(Active Directory の同期)。
- Active Directory グループ メンバーを含むグループを作成します(グループの追加)。
- Active Directory グループ メンバーを含むグループを分散ファイアウォール ルールまたはゲートウェイ ファイアウォール ルールに割り当てます。ゲスト イントロスペクションを使用して DFW ルールを作成する場合は、[適用先] フィールドが宛先グループに適用されていることを確認します。分散ファイアウォールの追加[送信元] フィールドは、Active Directory ベースのグループにする必要があります。
ユーザーのグループから宛先へのトラフィックを許可するすべての Identity Firewall ルールの場合、対応する分散ファイアウォール ルールまたはゲートウェイ ファイアウォール ルールが必要です。このルールでは、マシンのグループから、Identity Firewall ルールで指定されているのと同じ宛先へのトラフィックが許可されます。マシンのグループは、Identity Firewall ルールのユーザーがログインするマシンを指定します。
Identity Firewall を構成する場合のベスト プラクティスは、すべてのユーザーから宛先へのトラフィックをブロックするルールを作成し、特定のユーザー グループのトラフィックを同じ宛先に許可する別のルールを作成することです。