記念日 - 10 回目のレッスンへようこそ。 そして今日は、別の Check Point ブレードについてお話します - アイデンティティの認識。 NGFW について説明した当初、私たちは、NGFW が IP アドレスではなくアカウントに基づいてアクセスを規制できなければならないと判断しました。 これは主に、ユーザーのモビリティの向上と、BYOD モデル (自分のデバイスの持ち込み) が広く普及したことによるものです。 社内には、WiFi 経由で接続し、動的 IP を受信し、さらには異なるネットワーク セグメントからも接続する人がたくさんいるかもしれません。 ここで IP 番号に基づいてアクセス リストを作成してみてください。 ここでは、ユーザー ID がなければ何もできません。 そして、この問題で私たちを助けてくれるのがアイデンティティ認識ブレードです。
まず、ユーザー ID が最も頻繁に使用される目的を考えてみましょう。
- IP アドレスではなくユーザー アカウントによってネットワーク アクセスを制限します。 アクセスは、単純にインターネットと、DMZ などの他のネットワーク セグメントの両方に対して規制できます。
- VPN経由でアクセスします。 ユーザーにとって、別のパスワードを考案するよりも、自分のドメイン アカウントを認証に使用する方がはるかに便利であることに同意します。
- Check Point を管理するには、さまざまな権限を持つアカウントも必要です。
- そして最も素晴らしいのはレポートです。 IP アドレスではなく、レポートで特定のユーザーを確認できる方がはるかに便利です。
同時に、Check Point は次の XNUMX 種類のアカウントをサポートします。
- ローカル内部ユーザー。 ユーザーは管理サーバーのローカル データベースに作成されます。
- 外部ユーザー。 Microsoft Active Directory またはその他の LDAP サーバーは、外部ユーザー ベースとして機能できます。
今日はネットワークアクセスについてお話します。 Active Directory の存在下でネットワーク アクセスを制御するには、いわゆる アクセス役割、次の XNUMX つのユーザー オプションが許可されます。
- ネットワーク - つまりユーザーが接続しようとしているネットワーク
- AD ユーザーまたはユーザー グループ — このデータは AD サーバーから直接取得されます
- エスプレッソマシン - ワークステーション。
この場合、ユーザーの識別はいくつかの方法で実行できます。
- ADクエリ。 Check Point は、認証されたユーザーとその IP アドレスの AD サーバー ログを読み取ります。 AD ドメイン内のコンピュータは自動的に識別されます。
- ブラウザベースの認証。 ユーザーのブラウザ (Captive Portal または Transparent Kerberos) を介した識別。 ほとんどの場合、ドメインにないデバイスに使用されます。
- ターミナル サーバー。 この場合、識別は特別なターミナル エージェント (ターミナル サーバーにインストールされている) を使用して実行されます。
これらは最も一般的な XNUMX つのオプションですが、さらに XNUMX つのオプションがあります。
- アイデンティティエージェント。 ユーザーのコンピュータには特別なエージェントがインストールされます。
- アイデンティティコレクター。 Windows Server にインストールされ、ゲートウェイの代わりに認証ログを収集する別のユーティリティ。 実際、これは多数のユーザーにとって必須のオプションです。
- RADIUS アカウンティング。 さて、古き良き RADIUS がなければ、私たちはどうなるでしょうか。
このチュートリアルでは、XNUMX 番目のオプションであるブラウザベースを説明します。 理論は十分だと思うので、実践に進みましょう。
ビデオレッスン
ぜひご参加ください。
出所: habr.com