ProHoster > Blog > İdarə > 10. Check Point Starting R80.20. Şəxsiyyət Şüuru

10. Check Point Starting R80.20. Şəxsiyyət Şüuru

10. Check Point Starting R80.20. Şəxsiyyət Şüuru

Yubileyə xoş gəlmisiniz - 10-cu dərs. Və bu gün başqa bir Check Point bıçağı haqqında danışacağıq - Şəxsiyyət Şüuru. Əvvəlcə NGFW-ni təsvir edərkən müəyyən etdik ki, o, IP ünvanlarına deyil, hesablar əsasında girişi tənzimləyə bilməlidir. Bu, ilk növbədə, istifadəçilərin artan mobilliyi və BYOD modelinin geniş yayılması ilə əlaqədardır - öz cihazınızı gətirin. Bir şirkətdə WiFi vasitəsilə qoşulan, dinamik IP alan və hətta müxtəlif şəbəkə seqmentlərindən olan çoxlu insan ola bilər. Burada IP nömrələri əsasında giriş siyahıları yaratmağa çalışın. Burada istifadəçi identifikasiyası olmadan edə bilməzsiniz. Və bu məsələdə bizə kömək edəcək Şəxsiyyət Awareness bıçağıdır.

Ancaq əvvəlcə anlayaq ki, istifadəçi identifikasiyası ən çox hansı məqsədlər üçün istifadə olunur?

  1. Şəbəkəyə girişi IP ünvanları ilə deyil, istifadəçi hesabları ilə məhdudlaşdırmaq. Giriş həm İnternetə, həm də hər hansı digər şəbəkə seqmentlərinə, məsələn, DMZ-yə tənzimlənə bilər.
  2. VPN vasitəsilə giriş. Razılaşın ki, istifadəçi üçün başqa icad edilmiş paroldan daha çox avtorizasiya üçün onun domen hesabından istifadə etmək daha rahatdır.
  3. Check Point-i idarə etmək üçün sizə müxtəlif hüquqlara malik olan hesab da lazımdır.
  4. Və ən yaxşı hissəsi hesabatdır. Xüsusi istifadəçiləri IP ünvanlarından çox hesabatlarda görmək daha gözəldir.

Eyni zamanda, Check Point iki növ hesabı dəstəkləyir:

  • Yerli Daxili İstifadəçilər. İstifadəçi idarəetmə serverinin yerli məlumat bazasında yaradılır.
  • Xarici istifadəçilər. Xarici istifadəçi bazası Microsoft Active Directory və ya hər hansı digər LDAP server ola bilər.

Bu gün biz şəbəkəyə giriş haqqında danışacağıq. Şəbəkəyə girişi idarə etmək üçün, Active Directory-nin iştirakı ilə sözdə Giriş Rolu, bu üç istifadəçi seçiminə imkan verir:

  1. şəbəkə - yəni. istifadəçinin qoşulmağa çalışdığı şəbəkə
  2. AD İstifadəçisi və ya İstifadəçi Qrupu — bu məlumatlar birbaşa AD serverindən götürülür
  3. Maşın - iş yeri.

Bu halda istifadəçinin identifikasiyası bir neçə yolla həyata keçirilə bilər:

  • AD sorğusu. Check Point, təsdiqlənmiş istifadəçilər və onların IP ünvanları üçün AD server qeydlərini oxuyur. AD domenində olan kompüterlər avtomatik olaraq müəyyən edilir.
  • Brauzer əsaslı identifikasiya. İstifadəçinin brauzeri vasitəsilə identifikasiya (Captive Portal və ya Transparent Kerberos). Ən çox domendə olmayan cihazlar üçün istifadə olunur.
  • Terminal serverləri. Bu halda identifikasiya xüsusi terminal agentindən (terminal serverində quraşdırılmış) istifadə etməklə həyata keçirilir.

Bunlar ən çox yayılmış üç seçimdir, lakin daha üçü var:

  • Şəxsiyyət Agentləri. İstifadəçilərin kompüterlərində xüsusi agent quraşdırılıb.
  • Şəxsiyyət Kollektoru. Windows Server-də quraşdırılmış və şlüz əvəzinə autentifikasiya qeydlərini toplayan ayrıca yardım proqramı. Əslində, çox sayda istifadəçi üçün məcburi bir seçimdir.
  • RADIUS Mühasibat. Yaxşı, köhnə RADIUS olmasaydı, biz harada olardıq.

Bu dərslikdə mən ikinci variantı nümayiş etdirəcəyəm - Brauzer əsaslı. Məncə nəzəriyyə kifayətdir, keçək praktikaya.

Video dərsi

Daha çoxu üçün bizi izləyin və bizə qoşulun YouTube kanal 🙂

Mənbə: www.habr.com

Добавить комментарий