Velkommen til jubilæet - 10. lektion. Og i dag vil vi tale om en anden Check Point-klinge - Identitetsbevidsthed. Allerede i begyndelsen, da vi beskrev NGFW, fastslog vi, at det skal være i stand til at regulere adgangen baseret på konti, ikke IP-adresser. Det skyldes primært brugernes øgede mobilitet og den udbredte udbredelse af BYOD-modellen – medbring din egen enhed. Der kan være mange mennesker i en virksomhed, der forbinder via WiFi, modtager en dynamisk IP og endda fra forskellige netværkssegmenter. Prøv at oprette adgangslister baseret på IP-numre her. Her kan du ikke undvære brugeridentifikation. Og det er Identity Awareness-bladet, der vil hjælpe os i denne sag.
Men lad os først finde ud af, hvad brugeridentifikation oftest bruges til?
- At begrænse netværksadgang af brugerkonti i stedet for af IP-adresser. Adgangen kan reguleres både enkelt til internettet og til andre netværkssegmenter, for eksempel DMZ.
- Adgang via VPN. Enig i, at det er meget mere bekvemt for brugeren at bruge sin domænekonto til autorisation i stedet for en anden opfundet adgangskode.
- For at administrere Check Point skal du også have en konto, der kan have forskellige rettigheder.
- Og det bedste er at rapportere. Det er meget pænere at se specifikke brugere i rapporter i stedet for deres IP-adresser.
Samtidig understøtter Check Point to typer konti:
- Lokale interne brugere. Brugeren oprettes i administrationsserverens lokale database.
- Eksterne brugere. Microsoft Active Directory eller enhver anden LDAP-server kan fungere som en ekstern brugerbase.
I dag vil vi tale om netværksadgang. For at kontrollere netværksadgang, i nærværelse af Active Directory, den såkaldte Adgangsrolle, som tillader tre brugermuligheder:
- Netværk - dvs. netværket, som brugeren forsøger at oprette forbindelse til
- AD-bruger eller brugergruppe — disse data trækkes direkte fra AD-serveren
- Maskine - arbejdsstation.
I dette tilfælde kan brugeridentifikation udføres på flere måder:
- AD-forespørgsel. Check Point læser AD-serverlogfilerne for godkendte brugere og deres IP-adresser. Computere, der er i AD-domænet, identificeres automatisk.
- Browser-baseret godkendelse. Identifikation gennem brugerens browser (Captive Portal eller Transparent Kerberos). Bruges oftest til enheder, der ikke er i et domæne.
- Terminalservere. I dette tilfælde udføres identifikation ved hjælp af en speciel terminalagent (installeret på terminalserveren).
Dette er de tre mest almindelige muligheder, men der er tre mere:
- Identitetsagenter. En speciel agent er installeret på brugernes computere.
- Identitetssamler. Et separat hjælpeprogram, der er installeret på Windows Server og indsamler godkendelseslogfiler i stedet for gatewayen. Faktisk en obligatorisk mulighed for et stort antal brugere.
- RADIUS Regnskab. Nå, hvor ville vi være uden den gode gamle RADIUS.
I denne tutorial vil jeg demonstrere den anden mulighed - Browser-baseret. Jeg tror, teori er nok, lad os gå videre til praksis.
Video lektion
Følg med for mere og deltag i vores
Kilde: www.habr.com