IDFW(ID 기반 방화벽) 기능을 사용하여 NSX 관리자는 Active Directory 사용자 기반 DFW(분산 방화벽) 규칙을 생성할 수 있습니다.

IDFW는 가상 데스크톱(VDI) 또는 원격 데스크톱 세션(RDSH 지원)에 사용할 수 있기 때문에, 여러 사용자가 동시에 로그인이 가능하고 요구 사항을 기반으로 사용자 애플리케이션에 액세스할 수 있고 독립형 사용자 환경을 유지 보수할 수 있습니다. VDI 관리 시스템은 어떤 사용자가 VDI 가상 시스템에 대한 액세스 권한을 부여 받을지를 제어합니다. NSX-T는 IDFW가 사용하도록 설정된 소스 VM(가상 시스템)에서 대상 서버에 대한 액세스를 제어합니다. RDSH를 통해, 관리자는 AD(Active Directory)에서 여러 사용자가 포함된 보안 그룹을 생성하고 사용자가 자신의 역할을 기반으로 애플리케이션 서버에 액세스하는 것을 허용하거나 거부합니다. 예를 들어 인적 자원 및 엔지니어링은 동일한 RDSH 서버에 연결하여 해당 서버의 다른 애플리케이션에 액세스 할 수 있습니다.

지원되는 운영 체제가 있는 VM에서 IDFW를 사용할 수도 있습니다. ID 방화벽 지원 구성 항목을 참조하십시오.

고급 수준의 IDFW 구성 워크플로 개요는 인프라의 준비에서 시작됩니다. 준비에는 관리자가 보호된 각 클러스터에서 호스트 준비 구성 요소를 설치하고 Active Directory 동기화를 설정하여 NSX에서 AD 사용자 및 그룹을 사용할 수 있도록 하는 과정이 포함됩니다. 다음으로 IDFW는 Active Directory 사용자가 IDFW 규칙을 적용하기 위해 로그인하는 데스크톱을 알고 있어야 합니다. 네트워크 이벤트가 사용자에 의해 생성되면, VM에 VMware Tools와 함께 설치된 Thin 에이전트는 정보를 수집하고 전달하여 컨텍스트 엔진으로 보냅니다. 이 정보는 분산 방화벽에 대한 적용을 제공하는 데 사용됩니다.

IDFW는 분산 방화벽 규칙에서만 소스의 사용자 ID를 처리합니다. ID 기반 그룹은 DFW 규칙에서 대상으로 사용할 수 없습니다.

참고: IDFW는 게스트 운영 체제의 보안 및 무결성에 의존합니다. 악의적인 로컬 관리자가 방화벽 규칙을 우회하기 위해 해당 ID를 스푸핑할 수 있는 여러 방법이 있습니다. 사용자 ID 정보는 게스트 VM 내부의 NSX Guest Introspection Thin Agent에서 제공됩니다. 보안 관리자는 각 게스트 VM에 Thin Agent가 설치 및 실행되고 있는지 확인해야 합니다. 로그인한 사용자에게 에이전트를 제거하거나 중지할 수 있는 권한이 없어야 합니다.

지원되는 IDFW 구성에 대해서는 ID 방화벽 지원 구성 내용을 참조하십시오.

IDFW 워크플로:
  1. 사용자가 VM에 로그인하고 Skype 또는 Outlook을 열어 네트워크 연결을 시작합니다.
  2. 사용자 로그인 이벤트가 Thin Agent에 의해 감지되고, 연결 정보 및 ID 정보를 수집하여 컨텍스트 엔진에 보냅니다.
  3. 컨텍스트 엔진은 해당 규칙 적용을 위해 연결 및 ID 정보를 분산 방화벽 규칙으로 전달합니다.