Мерейтойға қош келдіңіздер - 10 сабақ. Бүгін біз тағы бір Check Point пышағы туралы сөйлесетін боламыз - Жеке басын білу. Ең басында, NGFW сипаттау кезінде біз оның IP мекенжайлары емес, тіркелгілер негізінде қол жеткізуді реттей алуы керек екенін анықтадық. Бұл, ең алдымен, пайдаланушылардың ұтқырлығының артуына және BYOD моделінің кең таралуына байланысты - өз құрылғыңызды әкеліңіз. Компанияда WiFi арқылы қосылатын, динамикалық IP алатын, тіпті әртүрлі желі сегменттерінен келетін адамдар көп болуы мүмкін. Мұнда IP нөмірлеріне негізделген кіру тізімдерін жасап көріңіз. Мұнда сіз пайдаланушы идентификациясынсыз жасай алмайсыз. Бұл мәселеде бізге Identity Awareness пышағы көмектеседі.
Алдымен, пайдаланушының сәйкестендіруі не үшін жиі қолданылатынын анықтап алайық?
- Желіге кіруді IP мекенжайлары бойынша емес, пайдаланушы тіркелгілері арқылы шектеу үшін. Қолжетімділікті Интернетке де, кез келген басқа желі сегменттеріне де реттеуге болады, мысалы, DMZ.
- VPN арқылы кіру. Пайдаланушыға авторизациялау үшін басқа ойлап тапқан құпия сөзді емес, өзінің домен тіркелгісін пайдалану әлдеқайда ыңғайлы екеніне келісіңіз.
- Check Point-ті басқару үшін сізге әртүрлі құқықтарға ие болуы мүмкін есептік жазба қажет.
- Ал ең жақсысы - есеп беру. Белгілі бір пайдаланушыларды IP мекенжайларынан гөрі есептерде көру әлдеқайда жақсы.
Сонымен қатар, Check Point тіркелгілердің екі түрін қолдайды:
- Жергілікті ішкі пайдаланушылар. Пайдаланушы басқару серверінің жергілікті дерекқорында жасалады.
- Сыртқы пайдаланушылар. Сыртқы пайдаланушы базасы Microsoft Active Directory немесе кез келген басқа LDAP сервері болуы мүмкін.
Бүгін біз желіге кіру туралы айтатын боламыз. Желіге кіруді басқару үшін Active Directory бар деп аталатын Рөлге қол жеткізу, ол үш пайдаланушы опциясына мүмкіндік береді:
- Желі - яғни. пайдаланушы қосылуға тырысып жатқан желі
- AD пайдаланушысы немесе пайдаланушылар тобы — бұл деректер тікелей AD серверінен алынады
- машина - жұмыс орны.
Бұл жағдайда пайдаланушыны сәйкестендіру бірнеше жолмен жүзеге асырылуы мүмкін:
- AD сұрауы. Check Point аутентификацияланған пайдаланушылар мен олардың IP мекенжайлары үшін AD серверінің журналдарын оқиды. AD доменіндегі компьютерлер автоматты түрде анықталады.
- Браузер негізіндегі аутентификация. Пайдаланушы браузері арқылы сәйкестендіру (Captive Portal немесе Transparent Kerberos). Көбінесе доменде емес құрылғылар үшін пайдаланылады.
- Терминал серверлері. Бұл жағдайда сәйкестендіру арнайы терминал агентінің көмегімен жүзеге асырылады (терминал серверінде орнатылған).
Бұл ең көп таралған үш нұсқа, бірақ тағы үшеуі бар:
- Сәйкестендіру агенттері. Пайдаланушылардың компьютерлеріне арнайы агент орнатылған.
- Жеке куәлік коллекторы. Windows серверінде орнатылған және шлюздің орнына аутентификация журналдарын жинайтын бөлек қызметтік бағдарлама. Шын мәнінде, пайдаланушылардың үлкен саны үшін міндетті опция.
- RADIUS бухгалтерлік есеп. Жақсы ескі РАДИУСсыз біз қайда болар едік.
Бұл оқулықта мен екінші нұсқаны көрсетемін - шолғышқа негізделген. Менің ойымша, теория жеткілікті, практикаға көшейік.
Бейне сабағы
Көбірек хабардар болыңыз және бізге қосылыңыз 🙂
Ақпарат көзі: www.habr.com