ProHoster > بلوق > إدارة > 10. تحقق من نقطة البدء R80.20. الوعي بالهوية

10. تحقق من نقطة البدء R80.20. الوعي بالهوية

10. تحقق من نقطة البدء R80.20. الوعي بالهوية

مرحبًا بكم في الذكرى - الدرس العاشر. واليوم سنتحدث عن شفرة أخرى لنقاط الفحص - الوعي بالهوية. في البداية ، عند وصف NGFW ، قررنا أنه يجب أن يكون قادرًا على تنظيم الوصول بناءً على الحسابات ، وليس عناوين IP. هذا يرجع في المقام الأول إلى زيادة تنقل المستخدمين وانتشار نموذج BYOD - أحضر جهازك الخاص. يمكن أن يكون هناك الكثير من الأشخاص في الشركة الذين يتصلون عبر شبكة WiFi ، ويحصلون على IP ديناميكي ، وحتى من قطاعات شبكة مختلفة. حاول هنا إنشاء قوائم وصول تستند إلى IP-shnikov. هنا ، لا غنى عن تعريف المستخدم. وهذا هو بالضبط شفرة الوعي بالهوية التي ستساعدنا في هذا الأمر.

لكن أولاً ، دعنا نتعرف على ما هو تعريف المستخدم الأكثر استخدامًا؟

  1. لتقييد الوصول إلى الشبكة بواسطة حسابات المستخدمين ، وليس عناوين IP. يمكن تنظيم الوصول ببساطة إلى الإنترنت وإلى أي قطاعات شبكة أخرى ، مثل DMZ.
  2. الوصول إلى VPN. توافق على أنه من الأنسب للمستخدم استخدام حساب المجال الخاص به للحصول على إذن ، وليس كلمة مرور مخترعة أخرى.
  3. لإدارة Check Point ، تحتاج أيضًا إلى حساب يمكن أن يكون له حقوق مختلفة.
  4. وأفضل جزء هو تقديم التقارير. من الأجمل بكثير رؤية مستخدمين محددين في التقارير ، وليس عناوين IP الخاصة بهم.

في نفس الوقت ، تدعم Check Point نوعين من الحسابات:

  • المستخدمون الداخليون المحليون. يتم إنشاء المستخدم في قاعدة البيانات المحلية لخادم الإدارة.
  • مستخدمين خارجيين. يمكن أن يعمل Microsoft Active Directory أو أي خادم LDAP آخر كقاعدة مستخدم خارجي.

اليوم سنتحدث عن الوصول إلى الشبكة. للتحكم في الوصول إلى الشبكة ، في وجود Active Directory ، ككائن (مصدر أو وجهة) ، يسمى ب دور الوصول، والذي يسمح بثلاثة خيارات للمستخدم:

  1. شبكة - أي. الشبكة التي يحاول المستخدم الاتصال بها
  2. مستخدم AD أو مجموعة مستخدمين - يتم سحب هذه البيانات مباشرة من خادم AD
  3. تشمل - محطة عمل.

في هذه الحالة ، يمكن إجراء تعريف المستخدم بعدة طرق:

  • استعلام AD. تقرأ Check Point سجلات خادم AD للمستخدمين المصادق عليهم وعناوين IP الخاصة بهم. يتم تحديد أجهزة الكمبيوتر الموجودة في مجال AD تلقائيًا.
  • المصادقة المستندة إلى المتصفح. التعريف من خلال متصفح المستخدم (البوابة الأسيرة أو Kerberos الشفافة). الأكثر استخدامًا للأجهزة التي ليست في مجال.
  • الخوادم الطرفية. في هذه الحالة ، يتم تحديد الهوية باستخدام وكيل طرفي خاص (مثبت على الخادم الطرفي).

هذه هي الخيارات الثلاثة الأكثر شيوعًا ، ولكن هناك ثلاثة خيارات أخرى:

  • وكلاء الهوية. يتم تثبيت وكيل خاص على أجهزة كمبيوتر المستخدمين.
  • جامع الهوية. أداة مساعدة منفصلة يتم تثبيتها على Windows Server وتجمع سجلات المصادقة بدلاً من البوابة. في الواقع ، خيار إلزامي لعدد كبير من المستخدمين.
  • محاسبة RADIUS. حسنًا ، حيث بدون RADIUS القديم الجيد.

في هذا البرنامج التعليمي ، سأوضح الخيار الثاني - المستند إلى المستعرض. نظرية كافية ، دعنا ننتقل إلى الممارسة.

فيديو تعليمي

ترقبوا المزيد وانضموا إلينا قناة يوتيوب ؟؟؟؟

المصدر: www.habr.com

إضافة تعليق