Բարի գալուստ տարեդարձ - 10-րդ դաս. Եվ այսօր մենք կխոսենք մեկ այլ Check Point սայրի մասին. Ինքնության գիտակցում. Հենց սկզբում, երբ նկարագրում էինք NGFW-ն, մենք որոշեցինք, որ այն պետք է կարողանա կարգավորել մուտքը հաշիվների, այլ ոչ թե IP հասցեների հիման վրա: Սա առաջին հերթին պայմանավորված է օգտատերերի շարժունակության ավելացմամբ և BYOD մոդելի համատարած տարածմամբ. բերեք ձեր սեփական սարքը: Ընկերությունում կարող են լինել շատ մարդիկ, ովքեր միանում են WiFi-ի միջոցով, ստանում են դինամիկ IP և նույնիսկ ցանցի տարբեր հատվածներից։ Փորձեք այստեղ ստեղծել մուտքի ցուցակներ IP համարների հիման վրա: Այստեղ դուք չեք կարող անել առանց օգտվողի նույնականացման: Եվ հենց ինքնության գիտակցման սայրն է, որ կօգնի մեզ այս հարցում:
Բայց նախ, եկեք պարզենք, թե օգտվողի նույնականացումը ինչի համար է առավել հաճախ օգտագործվում:
- Ցանցի մուտքը սահմանափակելու համար օգտվողների հաշիվներով, այլ ոչ թե IP հասցեներով: Մուտքը կարող է կարգավորվել ինչպես պարզապես դեպի ինտերնետ, այնպես էլ ցանցի ցանկացած այլ հատված, օրինակ՝ DMZ:
- Մուտք գործել VPN-ի միջոցով: Համաձայնեք, որ օգտվողի համար շատ ավելի հարմար է օգտագործել իր տիրույթի հաշիվը թույլտվության համար, այլ ոչ թե մեկ այլ հորինված գաղտնաբառ:
- Check Point-ը կառավարելու համար ձեզ նաև անհրաժեշտ է հաշիվ, որը կարող է ունենալ տարբեր իրավունքներ:
- Իսկ ամենալավ մասը հաշվետվությունն է: Շատ ավելի լավ է հաշվետվություններում տեսնել կոնկրետ օգտատերերի, քան նրանց IP հասցեները:
Միևնույն ժամանակ, Check Point-ն աջակցում է երկու տեսակի հաշիվների.
- Տեղական ներքին օգտագործողներ. Օգտագործողը ստեղծվում է կառավարման սերվերի տեղական տվյալների բազայում:
- Արտաքին օգտագործողներ. Արտաքին օգտագործողների բազան կարող է լինել Microsoft Active Directory կամ ցանկացած այլ LDAP սերվեր:
Այսօր մենք կխոսենք ցանցի հասանելիության մասին: Ցանցի հասանելիությունը վերահսկելու համար Active Directory-ի առկայության դեպքում, այսպես կոչված Մուտքի դերը, որը թույլ է տալիս օգտվողի երեք տարբերակ.
- Ցանց - այսինքն. ցանցը, որին օգտատերը փորձում է միանալ
- AD օգտվող կամ օգտվողների խումբ — այս տվյալները վերցվում են անմիջապես AD սերվերից
- Մեքենա - աշխատանքային կայան.
Այս դեպքում օգտագործողի նույնականացումը կարող է իրականացվել մի քանի եղանակով.
- AD հարցում. Check Point-ը կարդում է AD սերվերի տեղեկամատյանները վավերացված օգտվողների և նրանց IP հասցեների համար: Համակարգիչները, որոնք գտնվում են AD տիրույթում, ինքնաբերաբար նույնացվում են:
- Բրաուզերի վրա հիմնված նույնականացում. Նույնականացում օգտագործողի բրաուզերի միջոցով (Captive Portal կամ Transparent Kerberos): Առավել հաճախ օգտագործվում են սարքերի համար, որոնք տիրույթում չեն:
- Տերմինալային սերվերներ. Այս դեպքում նույնականացումն իրականացվում է հատուկ տերմինալային գործակալի միջոցով (տեղադրված է տերմինալային սերվերի վրա):
Սրանք երեք ամենատարածված տարբերակներն են, բայց կան ևս երեքը.
- Ինքնության գործակալներ. Օգտագործողների համակարգիչների վրա տեղադրված է հատուկ գործակալ։
- Ինքնության կոլեկցիոներ. Առանձին օգտակար ծրագիր, որը տեղադրված է Windows Server-ում և հավաքում է նույնականացման տեղեկամատյանները դարպասի փոխարեն: Փաստորեն, մեծ թվով օգտվողների համար պարտադիր տարբերակ:
- ՌԱԴԻՈՍ հաշվապահություն. Դե, որտե՞ղ կլինեինք մենք առանց հին ու բարի ՇԱՌԱՋ։
Այս ձեռնարկում ես կցուցադրեմ երկրորդ տարբերակը՝ բրաուզերի վրա հիմնված: Կարծում եմ՝ տեսությունը բավական է, անցնենք պրակտիկային։
Տեսանյութի ձեռնարկ
Հետևե՛ք ավելիին և միացե՛ք մեր 🙂
Source: www.habr.com