10. 시작하기 체크포인트 R80.20. 신원 인식

기념일에 오신 것을 환영합니다 - 10번째 수업. 오늘은 또 다른 Check Point 블레이드에 대해 이야기하겠습니다. 신원 인식. 처음에 NGFW를 설명할 때 우리는 NGFW가 IP 주소가 아닌 계정을 기반으로 액세스를 규제할 수 있어야 한다고 판단했습니다. 이는 주로 사용자의 이동성이 증가하고 BYOD 모델이 널리 확산되었기 때문입니다. 개인 기기를 가져오세요. 회사에는 WiFi를 통해 연결하고 동적 IP를 수신하며 심지어 다른 네트워크 세그먼트에서도 많은 사람들이 있을 수 있습니다. 여기에서 IP 번호를 기반으로 액세스 목록을 만들어 보세요. 여기서는 사용자 식별 없이는 할 수 없습니다. 이 문제에 도움이 되는 것이 바로 Identity Awareness 블레이드입니다.

하지만 먼저 사용자 식별이 가장 자주 사용되는 용도가 무엇인지 알아 보겠습니다.

1. IP 주소가 아닌 사용자 계정으로 네트워크 액세스를 제한합니다. 단순히 인터넷과 기타 네트워크 세그먼트(예: DMZ)에 대한 액세스를 규제할 수 있습니다.
2. VPN을 통해 액세스합니다. 사용자가 인증을 위해 또 다른 비밀번호를 사용하는 것보다 자신의 도메인 계정을 사용하는 것이 훨씬 더 편리하다는 데 동의합니다.
3. Check Point를 관리하려면 다양한 권한을 가질 수 있는 계정도 필요합니다.
4. 그리고 가장 좋은 점은 보고입니다. IP 주소보다는 보고서에서 특정 사용자를 보는 것이 훨씬 더 좋습니다.

동시에 Check Point는 두 가지 유형의 계정을 지원합니다.

• 로컬 내부 사용자. 사용자는 관리 서버의 로컬 데이터베이스에 생성됩니다.
• 외부 사용자. Microsoft Active Directory 또는 기타 LDAP 서버는 외부 사용자 기반 역할을 할 수 있습니다.

오늘은 네트워크 액세스에 대해 이야기하겠습니다. Active Directory가 있는 상태에서 네트워크 액세스를 제어하기 위해 소위 액세스 역할, 세 가지 사용자 옵션을 허용합니다.

1. 네트워크 - 즉. 사용자가 연결하려는 네트워크
2. AD 사용자 또는 사용자 그룹 — 이 데이터는 AD 서버에서 직접 가져옵니다.
3. 머신 - 작업장.

이 경우 사용자 식별은 여러 가지 방법으로 수행될 수 있습니다.

• 광고 쿼리. Check Point는 인증된 사용자와 해당 IP 주소에 대한 AD 서버 로그를 읽습니다. AD 도메인에 있는 컴퓨터는 자동으로 식별됩니다.
• 브라우저 기반 인증. 사용자의 브라우저(Captive Portal 또는 Transparent Kerberos)를 통한 식별. 도메인에 속하지 않은 장치에 가장 자주 사용됩니다.
• 터미널 서버. 이 경우 식별은 특수 터미널 에이전트(터미널 서버에 설치됨)를 사용하여 수행됩니다.

가장 일반적인 세 ​​가지 옵션은 다음과 같습니다. 하지만 세 가지가 더 있습니다.

• 신원 에이전트. 사용자의 컴퓨터에는 특수 에이전트가 설치됩니다.
• 신원 수집기. Windows Server에 설치되어 게이트웨이 대신 인증 로그를 수집하는 별도의 유틸리티입니다. 실제로 많은 수의 사용자에게 필수 옵션입니다.
• RADIUS 회계. 글쎄요, 오래된 RADIUS가 없었다면 우리는 어디에 있었을까요?

이 튜토리얼에서는 두 번째 옵션인 브라우저 기반을 보여드리겠습니다. 이론이면 충분하다고 생각합니다. 실습으로 넘어 갑시다.

비디오 튜토리얼

더 많은 것을 기대하고 우리와 함께하십시오 YouTube 채널 ????

출처 : habr.com