ProHoster > Blog > Stjórnsýsla > 10. Byrjaðu á Check Point R80.20. Sjálfsmyndavitund

10. Byrjaðu á Check Point R80.20. Sjálfsmyndavitund

10. Byrjaðu á Check Point R80.20. Sjálfsmyndavitund

Velkomin á afmælið - 10. kennslustund. Og í dag munum við tala um annað Check Point blað - Sjálfsmyndavitund. Strax í upphafi, þegar við lýsum NGFW, ákváðum við að það yrði að geta stjórnað aðgangi út frá reikningum, ekki IP-tölum. Þetta er fyrst og fremst vegna aukinnar hreyfanleika notenda og víðtækrar útbreiðslu BYOD líkansins - komdu með þitt eigið tæki. Það getur verið fullt af fólki í fyrirtæki sem tengist í gegnum WiFi, fær kraftmikla IP og jafnvel frá mismunandi nethlutum. Prófaðu að búa til aðgangslista byggða á IP tölum hér. Hér geturðu ekki verið án notendaauðkenningar. Og það er sjálfsvitundarblaðið sem mun hjálpa okkur í þessu máli.

En fyrst skulum við reikna út hvað notendaauðkenning er oftast notuð fyrir?

  1. Til að takmarka netaðgang með notendareikningum frekar en með IP tölum. Hægt er að stjórna aðgangi bæði einfaldlega að internetinu og öllum öðrum nethlutum, til dæmis DMZ.
  2. Aðgangur í gegnum VPN. Sammála því að það er miklu þægilegra fyrir notandann að nota lénsreikninginn sinn fyrir heimild, frekar en annað uppfundið lykilorð.
  3. Til að stjórna Check Point þarftu líka reikning sem getur haft ýmis réttindi.
  4. Og það besta er að tilkynna. Það er miklu betra að sjá tiltekna notendur í skýrslum frekar en IP-tölur þeirra.

Á sama tíma styður Check Point tvær tegundir af reikningum:

  • Staðbundnir innri notendur. Notandinn er búinn til í staðbundnum gagnagrunni stjórnunarþjónsins.
  • Ytri notendur. Ytri notendagrunnur getur verið Microsoft Active Directory eða einhver annar LDAP netþjónn.

Í dag munum við tala um netaðgang. Til að stjórna netaðgangi, í viðurvist Active Directory, svokallaða Aðgangshlutverk, sem gerir þrjá notendavalkosti kleift:

  1. Net - þ.e. netið sem notandinn er að reyna að tengjast
  2. AD notandi eða notendahópur — þessi gögn eru dregin beint frá AD þjóninum
  3. Machine - vinnustöð.

Í þessu tilviki er hægt að framkvæma auðkenningu notanda á nokkra vegu:

  • AD fyrirspurn. Check Point les AD netþjónsskrárnar fyrir sannvotta notendur og IP tölur þeirra. Tölvur sem eru á AD léninu eru auðkenndar sjálfkrafa.
  • Vafrabundin auðkenning. Auðkenning í gegnum vafra notandans (Captive Portal eða Transparent Kerberos). Oftast notað fyrir tæki sem eru ekki á léni.
  • Terminal Servers. Í þessu tilviki fer auðkenningin fram með því að nota sérstakan flugstöðvamiðlara (uppsettur á flugstöðvarþjóninum).

Þetta eru þrír algengustu valkostirnir, en það eru þrír í viðbót:

  • Auðkennisfulltrúar. Sérstakur umboðsmaður er settur upp á tölvum notenda.
  • Identity Collector. Sérstakt tól sem er sett upp á Windows Server og safnar auðkenningarskrám í stað gáttarinnar. Reyndar lögboðinn valkostur fyrir mikinn fjölda notenda.
  • RADIUS bókhald. Jæja, hvar værum við án gamla góða RADIUS.

Í þessari kennslu mun ég sýna seinni valmöguleikann - Vafra-undirstaða. Ég held að kenningin sé nóg, við skulum halda áfram að æfa.

Vídeókennsla

Fylgstu með fyrir meira og vertu með YouTube rás 🙂

Heimild: www.habr.com

Bæta við athugasemd