ProHoster > blog > Gweinyddiaeth > 10. Pwynt Gwirio Cychwyn Arni R80.20. Ymwybyddiaeth o Hunaniaeth

10. Pwynt Gwirio Cychwyn Arni R80.20. Ymwybyddiaeth o Hunaniaeth

10. Pwynt Gwirio Cychwyn Arni R80.20. Ymwybyddiaeth o Hunaniaeth

Croeso i'r penblwydd - 10fed gwers. A heddiw byddwn yn siarad am lafn Pwynt Gwirio arall - Ymwybyddiaeth o Hunaniaeth. Ar y cychwyn cyntaf, wrth ddisgrifio NGFW, fe wnaethom benderfynu bod yn rhaid iddo allu rheoleiddio mynediad yn seiliedig ar gyfrifon, nid cyfeiriadau IP. Mae hyn yn bennaf oherwydd symudedd cynyddol defnyddwyr a lledaeniad eang y model BYOD - dewch Γ’'ch dyfais eich hun. Efallai y bydd llawer o bobl mewn cwmni sy'n cysylltu trwy WiFi, yn derbyn IP deinamig, a hyd yn oed o wahanol segmentau rhwydwaith. Ceisiwch greu rhestrau mynediad yn seiliedig ar rifau IP yma. Yma ni allwch wneud heb adnabod defnyddiwr. A llafn Ymwybyddiaeth Hunaniaeth a fydd yn ein helpu yn y mater hwn.

Ond yn gyntaf, gadewch i ni ddarganfod at ba ddiben adnabod defnyddiwr y defnyddir amlaf?

  1. I gyfyngu mynediad rhwydwaith gan gyfrifon defnyddwyr yn hytrach na gan gyfeiriadau IP. Gellir rheoleiddio mynediad i'r Rhyngrwyd yn unig ac i unrhyw segmentau rhwydwaith eraill, er enghraifft DMZ.
  2. Mynediad trwy VPN. Cytuno ei bod yn llawer mwy cyfleus i'r defnyddiwr ddefnyddio ei gyfrif parth i'w awdurdodi, yn hytrach na chyfrinair dyfeisiedig arall.
  3. I reoli Check Point, mae angen cyfrif arnoch hefyd a allai fod Γ’ hawliau amrywiol.
  4. A'r rhan orau yw adrodd. Mae'n llawer brafiach gweld defnyddwyr penodol mewn adroddiadau yn hytrach na'u cyfeiriadau IP.

Ar yr un pryd, mae Check Point yn cefnogi dau fath o gyfrif:

  • Defnyddwyr Mewnol Lleol. Mae'r defnyddiwr yn cael ei greu yn y gronfa ddata leol y gweinydd rheoli.
  • Defnyddwyr Allanol. Gall y sylfaen defnyddwyr allanol fod yn Microsoft Active Directory neu unrhyw weinydd LDAP arall.

Heddiw byddwn yn siarad am fynediad rhwydwaith. Er mwyn rheoli mynediad rhwydwaith, ym mhresenoldeb Active Directory, yr hyn a elwir RΓ΄l Mynediad, sy'n caniatΓ‘u tri opsiwn defnyddiwr:

  1. Rhwydwaith - h.y. y rhwydwaith y mae'r defnyddiwr yn ceisio cysylltu ag ef
  2. Defnyddiwr AD neu GrΕ΅p Defnyddwyr β€” mae'r data hwn yn cael ei dynnu'n uniongyrchol o'r gweinydd AD
  3. Peiriant - gweithfan.

Yn yr achos hwn, gellir adnabod defnyddiwr mewn sawl ffordd:

  • Ymholiad AD. Mae Check Point yn darllen logiau gweinydd AD ar gyfer defnyddwyr dilys a'u cyfeiriadau IP. Mae cyfrifiaduron sydd yn y parth AD yn cael eu hadnabod yn awtomatig.
  • Dilysiad ar Sail Porwr. Adnabod trwy borwr y defnyddiwr (Captive Portal neu Transparent Kerberos). Defnyddir amlaf ar gyfer dyfeisiau nad ydynt mewn parth.
  • Gweinyddion Terfynell. Yn yr achos hwn, gwneir adnabod gan ddefnyddio asiant terfynell arbennig (wedi'i osod ar y gweinydd terfynell).

Dyma’r tri opsiwn mwyaf cyffredin, ond mae tri arall:

  • Asiantau Hunaniaeth. Mae asiant arbennig wedi'i osod ar gyfrifiaduron defnyddwyr.
  • Casglwr Hunaniaeth. Cyfleustodau ar wahΓ’n sy'n cael eu gosod ar Windows Server ac sy'n casglu logiau dilysu yn lle'r porth. Yn wir, yn opsiwn gorfodol ar gyfer nifer fawr o ddefnyddwyr.
  • Cyfrifeg RADIUS. Wel, ble fydden ni heb yr hen RADIUS da.

Yn y tiwtorial hwn byddaf yn dangos yr ail opsiwn - Seiliedig ar borwyr. Rwy'n meddwl bod theori yn ddigon, gadewch i ni symud ymlaen i ymarfer.

Gwers fideo

Cadwch draw am fwy ac ymunwch Γ’'n Sianel YouTube πŸ™‚

Ffynhonnell: hab.com

Ychwanegu sylw