ProHoster > Blog > administrasie > 10. Check Point Aan die gang R80.20. Identiteitsbewustheid

10. Check Point Aan die gang R80.20. Identiteitsbewustheid

10. Check Point Aan die gang R80.20. Identiteitsbewustheid

Welkom by die herdenking - 10de les. En vandag sal ons praat oor nog 'n Check Point-lem - Identiteitsbewustheid. Heel aan die begin, toe ons NGFW beskryf het, het ons vasgestel dat dit toegang moet kan reguleer op grond van rekeninge, nie IP-adresse nie. Dit is hoofsaaklik as gevolg van die verhoogde mobiliteit van gebruikers en die wydverspreide verspreiding van die BYOD-model - bring jou eie toestel. Daar kan baie mense in 'n maatskappy wees wat via WiFi koppel, 'n dinamiese IP ontvang, en selfs van verskillende netwerksegmente. Probeer om toegangslyste hier op grond van IP-nommers te skep. Hier kan jy nie sonder gebruikersidentifikasie nie. En dit is die Identity Awareness-lem wat ons in hierdie saak sal help.

Maar eers, laat ons uitvind waarvoor gebruikers-identifikasie die meeste gebruik word?

  1. Om netwerktoegang deur gebruikersrekeninge eerder as deur IP-adresse te beperk. Toegang kan gereguleer word sowel bloot tot die internet as tot enige ander netwerksegmente, byvoorbeeld DMZ.
  2. Toegang via VPN. Stem saam dat dit baie geriefliker is vir die gebruiker om sy domeinrekening vir magtiging te gebruik, eerder as 'n ander uitgevindte wagwoord.
  3. Om Check Point te bestuur, benodig jy ook 'n rekening wat verskeie regte kan hê.
  4. En die beste deel is verslagdoening. Dit is baie lekkerder om spesifieke gebruikers in verslae te sien eerder as hul IP-adresse.

Terselfdertyd ondersteun Check Point twee tipes rekeninge:

  • Plaaslike interne gebruikers. Die gebruiker word in die plaaslike databasis van die bestuursbediener geskep.
  • Eksterne gebruikers. Microsoft Active Directory of enige ander LDAP-bediener kan as 'n eksterne gebruikersbasis optree.

Vandag sal ons praat oor netwerktoegang. Om netwerktoegang te beheer, in die teenwoordigheid van Active Directory, die sg Toegangsrol, wat drie gebruikersopsies toelaat:

  1. Netwerk - d.w.s. die netwerk waarmee die gebruiker probeer koppel
  2. AD-gebruiker of gebruikersgroep - hierdie data word direk vanaf die AD-bediener getrek
  3. Machine - werkstasie.

In hierdie geval kan gebruikersidentifikasie op verskeie maniere uitgevoer word:

  • AD-navraag. Check Point lees die AD-bedienerlogboeke vir geverifieerde gebruikers en hul IP-adresse. Rekenaars wat in die AD-domein is, word outomaties geïdentifiseer.
  • Blaaier-gebaseerde verifikasie. Identifikasie deur die gebruiker se blaaier (Captive Portal of Transparent Kerberos). Word meestal gebruik vir toestelle wat nie in 'n domein is nie.
  • Terminale bedieners. In hierdie geval word identifikasie uitgevoer met behulp van 'n spesiale terminale agent (geïnstalleer op die terminale bediener).

Dit is die drie mees algemene opsies, maar daar is nog drie:

  • Identiteitsagente. 'n Spesiale agent word op gebruikers se rekenaars geïnstalleer.
  • Identiteitsversamelaar. 'n Aparte nutsprogram wat op Windows Server geïnstalleer is en verifikasieloglêers in plaas van die poort versamel. Trouens, 'n verpligte opsie vir groot getalle gebruikers.
  • RADIUS Rekeningkunde. Wel, waar sou ons wees sonder die goeie ou RADIUS.

In hierdie tutoriaal sal ek die tweede opsie demonstreer - blaaiergebaseer. Ek dink teorie is genoeg, kom ons gaan aan na die praktyk.

Video les

Bly ingeskakel vir meer en sluit by ons aan YouTube-kanaal 🙂

Bron: will.com

Voeg 'n opmerking