ProHoster > وبلاگ > اداره > 10. نقطه شروع R80.20 را بررسی کنید. آگاهی هویت

10. نقطه شروع R80.20 را بررسی کنید. آگاهی هویت

10. نقطه شروع R80.20 را بررسی کنید. آگاهی هویت

به سالگرد خوش آمدید - درس 10. و امروز در مورد یک تیغه Check Point دیگر صحبت خواهیم کرد - آگاهی هویت. در همان ابتدا، هنگام توصیف NGFW، تشخیص دادیم که باید بتواند دسترسی را بر اساس حساب‌ها تنظیم کند، نه آدرس‌های IP. این در درجه اول به دلیل افزایش تحرک کاربران و گسترش گسترده مدل BYOD است - دستگاه خود را بیاورید. ممکن است افراد زیادی در یک شرکت وجود داشته باشند که از طریق WiFi متصل می شوند، یک IP پویا و حتی از بخش های مختلف شبکه دریافت می کنند. سعی کنید لیست های دسترسی را بر اساس شماره IP در اینجا ایجاد کنید. در اینجا شما نمی توانید بدون شناسایی کاربر انجام دهید. و این تیغه آگاهی هویت است که به ما در این امر کمک می کند.

اما ابتدا، بیایید بفهمیم که شناسایی کاربر اغلب برای چه چیزی استفاده می شود؟

  1. برای محدود کردن دسترسی به شبکه توسط حساب های کاربری به جای آدرس های IP. دسترسی را می توان هم به سادگی به اینترنت و هم به هر بخش شبکه دیگر، برای مثال DMZ تنظیم کرد.
  2. دسترسی از طریق VPN موافقت کنید که استفاده از حساب دامنه خود برای مجوز به جای رمز عبور دیگر برای کاربر بسیار راحت تر است.
  3. برای مدیریت چک پوینت، به یک حساب کاربری نیز نیاز دارید که ممکن است حقوق مختلفی داشته باشد.
  4. و بهترین قسمت گزارش است. دیدن کاربران خاص در گزارش ها به جای آدرس IP آنها بسیار زیباتر است.

در عین حال، Check Point از دو نوع حساب پشتیبانی می کند:

  • کاربران داخلی محلی. کاربر در پایگاه داده محلی سرور مدیریت ایجاد می شود.
  • کاربران خارجی. Microsoft Active Directory یا هر سرور LDAP دیگری می تواند به عنوان یک پایگاه کاربر خارجی عمل کند.

امروز در مورد دسترسی به شبکه صحبت خواهیم کرد. برای کنترل دسترسی به شبکه، در حضور Active Directory، به اصطلاح نقش دسترسی، که به سه گزینه کاربر اجازه می دهد:

  1. شبکه ارتباطی - یعنی شبکه ای که کاربر سعی می کند به آن متصل شود
  2. کاربر AD یا گروه کاربر - این داده ها مستقیماً از سرور AD استخراج می شوند
  3. دستگاه - ایستگاه کاری

در این مورد، شناسایی کاربر می تواند به چند روش انجام شود:

  • پرس و جو AD. Check Point گزارش های سرور AD را برای کاربران احراز هویت شده و آدرس های IP آنها می خواند. رایانه هایی که در دامنه AD هستند به طور خودکار شناسایی می شوند.
  • احراز هویت مبتنی بر مرورگر. شناسایی از طریق مرورگر کاربر (Captive Portal یا Transparent Kerberos). اغلب برای دستگاه هایی استفاده می شود که در یک دامنه نیستند.
  • سرورهای ترمینال. در این مورد، شناسایی با استفاده از یک عامل ترمینال ویژه (نصب شده بر روی سرور ترمینال) انجام می شود.

اینها سه گزینه رایج هستند، اما سه گزینه دیگر وجود دارد:

  • عوامل هویت. یک عامل ویژه بر روی رایانه کاربران نصب شده است.
  • گردآورنده هویت. یک ابزار مجزا که بر روی سرور ویندوز نصب می شود و به جای دروازه، لاگ های احراز هویت را جمع آوری می کند. در واقع یک گزینه اجباری برای تعداد زیادی از کاربران است.
  • حسابداری رادیوس. خوب، ما بدون RADIUS خوب قدیمی کجا بودیم.

در این آموزش من گزینه دوم را نشان خواهم داد - مبتنی بر مرورگر. به نظر من تئوری کافی است، بیایید به سراغ عمل برویم.

درس تصویری

منتظر اطلاعات بیشتر باشید و به ما بپیوندید کانال یوتیوب ؟؟؟؟

منبع: www.habr.com

اضافه کردن نظر