ID 방화벽 기능을 사용하여 NSX 관리자는 Active Directory 사용자 기반 DFW 규칙을 생성할 수 있습니다.
고급 수준의 IDFW 구성 워크플로 개요는 인프라의 준비에서 시작됩니다. 여기에는 관리자가 보호된 각 클러스터에서 호스트 준비 구성 요소를 설치하고 Active Directory 동기화를 설정하여 NSX에서 AD 사용자 및 그룹을 사용할 수 있도록 하는 과정이 포함됩니다. 다음으로 IDFW는 AD(Active Directory) 사용자가 DFW 규칙을 적용하기 위해 로그온하는 데스크톱을 알고 있어야 합니다. IDFW가 로그온 감지에 사용하는 방법으로는 GI(Guest Introspection) 및/또는 Active Directory 이벤트 로그 스크레이퍼의 두 가지가 있습니다. Guest Introspection은 IDFW 가상 시스템이 실행되고 있는 ESXi 클러스터에 배포됩니다. 사용자가 네트워크 이벤트를 생성하면 VM에 설치된 게스트 에이전트는 Guest Introspection 프레임워크를 통해 NSX Manager로 정보를 전달합니다. 두 번째 옵션은 Active Directory 이벤트 로그 스크레이퍼입니다. NSX Manager의 Active Directory 이벤트 로그 스크레이퍼가 Active Directory 도메인 컨트롤러의 인스턴스를 가리키도록 구성합니다. 그러면 NSX Manager는 AD 보안 이벤트 로그에서 이벤트를 추출합니다. 작업 환경에서 두 방법을 모두 사용하거나 한 가지만 사용할 수 있습니다. AD 로그 스크레이퍼와 Guest Introspection이 둘 다 사용될 경우 Guest Introspection이 우선적으로 적용됩니다. AD 이벤트 로그 스크레이퍼와 Guest Introspection을 둘 다 사용하는 경우 두 기능은 상호 배타적입니다. 두 기능 중 하나가 작동을 중지하면 다른 기능이 백업으로 작동하지 못합니다.
인프라가 준비되면 관리자는 NSX 보안 그룹을 생성하고 새로 사용 가능해진 AD 그룹(디렉토리 그룹)을 추가합니다. 그러면 관리자는 연결된 방화벽 규칙으로 보안 정책을 생성하고 해당 정책을 새로 생성한 보안 그룹에 적용할 수 있습니다. 이제 사용자가 데스크톱에 로그인하면 시스템은 사용되는 IP 주소에 따라 해당 이벤트를 감지하고, 해당 사용자와 연결된 방화벽 정책을 조회하고, 해당 규칙을 푸시다운합니다. 물리적 데스크톱과 가상 데스크톱 둘 다 마찬가지입니다. 물리적 데스크톱의 경우 사용자가 물리적 데스크톱에 로그인되었는지 감지하기 위해 AD 이벤트 로그 스크레이퍼도 필요합니다.
ID 방화벽을 RDSH(원격 데스크톱 세션)에서 마이크로 세분화에 사용하여, 여러 사용자의 동시 로그인, 요구 사항에 따른 사용자 애플리케이션 액세스 및 독립적 사용자 환경 유지 보수 기능을 사용하도록 설정할 수 있습니다. 원격 데스크톱 세션이 있는 ID 방화벽에는 Active Directory가 필요합니다.
지원되는 Windows 운영 체제에 대해서는 ID 방화벽의 테스트를 거쳤으며 지원되는 구성을 참조하십시오. Linux 기반 운영 체제는 ID 방화벽에 대해 지원되지 않습니다.