IDFW는 사용자 ID 기반 방화벽 규칙을 허용하여 기존 방화벽을 향상합니다. 예를 들어 관리자는 단일 방화벽 정책을 사용하여 고객 지원 담당자가 HR 데이터베이스에 액세스하도록 허용하거나 허용하지 않을 수 있습니다.

ID 기반 분산 방화벽 규칙은 AD(Active Directory) 그룹 멤버 자격의 자격에 따라 결정됩니다. IDFW 규칙이 작동하려면 AD 사용자가 있는 OU와 해당 사용자가 있는 AD 그룹을 포함하는 OU를 모두 [동기화할 조직 단위]에 추가해야 합니다. ID 방화벽 지원 구성 항목을 참조하십시오.

IDFW는 방화벽 규칙에서만 소스의 사용자 ID를 처리합니다. 사용자 ID가 처리되는 소스에서 시작되는 트래픽에만 IDFW 규칙이 적용됩니다. ID 기반 그룹은 방화벽 규칙에서 대상으로 사용할 수 없습니다.

참고: ID 방화벽 규칙 적용의 경우 Active Directory를 사용하는 모든 VM에 대해 Windows 시간 서비스를 설정해야 합니다. 이렇게 하면 Active Directory와 VM 간에 날짜와 시간이 동기화됩니다. 사용자를 사용하도록 설정하거나 삭제하는 경우를 비롯한 AD 그룹 멤버 자격 변경 시 로그인한 사용자에게 즉시 영향을 주지 않습니다. 변경 사항을 적용하려면 로그아웃했다가 다시 로그인해야 합니다. 그룹 멤버 자격이 수정된 경우 AD 관리자가 강제로 로그아웃해야 합니다. 이 동작은 Active Directory의 제한 사항입니다.

사전 요구 사항

VM에서 Windows 자동 로그온이 사용하도록 설정된 경우 로컬 컴퓨터 정책 > 컴퓨터 구성 > 관리 템플릿 > 시스템 > 로그온으로 이동한 후 컴퓨터 시작 및 로그온 시 항상 네트워크 대기를 사용하도록 설정합니다.

지원되는 IDFW 구성에 대해서는 ID 방화벽 지원 구성 내용을 참조하십시오.

프로시저

  1. NSX File Introspection 드라이버 및 NSX Network Introspection 드라이버(VMware Tools 전체 설치 시 기본적으로 추가됨) 또는 이벤트 로그 스크래핑을 사용하도록 설정합니다. ID 방화벽 이벤트 로그 소스 항목을 참조하십시오.

    이벤트 로그 스크래핑을 통해 물리적 디바이스에 대해 IDFW를 사용하도록 설정할 수 있습니다. 가상 시스템에는 이벤트 로그 스크래핑을 사용할 수 있지만 Guest Introspection은 이벤트 로그 스크래핑보다 우선합니다. Guest Introspection은 VMware Tools를 통해 사용하도록 설정되며 전체 VMware Tools 설치 및 IDFW를 사용하는 경우 Guest Introspection이 이벤트 로그 스크래핑보다 우선합니다.

  2. DFW 및 GFW에서 ID 기반 방화벽 사용로 가져옵니다.
  3. Active Directory(필수) 및 이벤트 로그 스크래핑(선택 사항)을 구성합니다. Active Directory 및 이벤트 로그 스크레이핑 구성.
  4. Active Directory 동기화 작업을 구성합니다. Active Directory 동기화.
  5. Active Directory 그룹 멤버가 포함된 그룹을 생성합니다. 그룹 추가.
  6. AD 그룹 멤버가 있는 그룹을 분산 방화벽 규칙 또는 게이트웨이 방화벽 규칙에 할당합니다. Guest Introspection을 사용하여 DFW 규칙을 생성하는 경우 적용 대상 필드가 대상 그룹에 적용되는지 확인합니다. 분산 방화벽 추가. 소스 필드는 AD 기반 그룹이어야 합니다.
    사용자 그룹에서 대상으로의 트래픽을 허용하는 모든 ID 방화벽 규칙의 경우, 시스템 그룹에서 ID 방화벽 규칙에 지정된 동일한 대상으로의 트래픽을 허용하는 해당 분산 방화벽 규칙 또는 게이트웨이 방화벽 규칙이 있어야 합니다. 시스템 그룹은 ID 방화벽 규칙의 사용자가 로그인할 시스템을 지정합니다.

    ID 방화벽을 구성할 때 모범 사례는 모든 사용자에서 대상으로의 트래픽을 차단하는 규칙을 생성하고 특정 사용자 그룹에서 동일한 대상으로의 트래픽을 허용하는 다른 규칙을 생성하는 것입니다.