Tongasoa eto amin'ny tsingerintaona - lesona faha-10. Ary androany isika dia hiresaka momba ny lelan'ny Check Point hafa - Fahatsiarovan-tena. Tany am-piandohana, rehefa mamaritra ny NGFW, dia nanapa-kevitra izahay fa tsy maintsy afaka mandrindra ny fidirana amin'ny kaonty, fa tsy adiresy IP. Izany dia noho ny fitomboan'ny fivezivezen'ny mpampiasa sy ny fiparitahan'ny modely BYOD - ento ny fitaovanao manokana. Mety ho be dia be ny olona ao amin'ny orinasa iray mifandray amin'ny WiFi, mahazo IP mavitrika, ary na dia avy amin'ny sehatra tambajotra samihafa aza. Andramo mamorona lisitra fidirana mifototra amin'ny laharan'ny IP eto. Eto ianao dia tsy afaka manao raha tsy misy ny famantarana ny mpampiasa. Ary ny lelan'ny Identity Awareness no hanampy antsika amin'ity raharaha ity.
Fa aloha, andeha hojerentsika hoe inona ny famantarana ny mpampiasa matetika ampiasaina?
- Hamerana ny fidirana amin'ny tambajotra amin'ny kaonty mpampiasa fa tsy amin'ny adiresy IP. Ny fidirana dia azo fehezina amin'ny Internet tsotra sy amin'ny sehatra tambajotra hafa, ohatra DMZ.
- Fidirana amin'ny alΓ lan'ny VPN. Ekeo fa mety kokoa ho an'ny mpampiasa ny mampiasa ny kaontiny ho an'ny fanomezan-dΓ lana, fa tsy ny tenimiafina noforonina hafa.
- Mba hitantana ny Check Point dia mila kaonty izay mety manana zo isan-karazany.
- Ary ny ampahany tsara indrindra dia ny tatitra. Tsara kokoa ny mahita mpampiasa manokana amin'ny tatitra fa tsy ny adiresy IP-ny.
Mandritra izany fotoana izany, ny Check Point dia manohana karazana kaonty roa:
- Mpampiasa anatiny eo an-toerana. Ny mpampiasa dia noforonina ao amin'ny tahiry eo an-toerana an'ny mpizara fitantanana.
- Mpampiasa ivelany. Ny Microsoft Active Directory na mpizara LDAP hafa dia afaka miasa ho toy ny toby mpampiasa ivelany.
Hiresaka momba ny fidirana amin'ny tambajotra isika anio. Mba hifehezana ny fidirana amin'ny tambajotra, eo anatrehan'ny Active Directory, ilay antsoina hoe Andraikitry ny fidirana, izay mamela safidy mpampiasa telo:
- Network - i.e. ny tambajotra ezahin'ny mpampiasa hifandraisana
- AD User na User Group - ity data ity dia sintonina mivantana avy amin'ny mpizara AD
- Machine - toeram-piasana.
Amin'ity tranga ity, ny famantarana ny mpampiasa dia azo atao amin'ny fomba maro:
- Fanontaniana AD. Ny Check Point dia mamaky ny diarin'ny mpizara AD ho an'ireo mpampiasa voamarina sy ny adiresy IP-ny. Ny solosaina izay ao amin'ny sehatra AD dia fantatra ho azy.
- Fanamarinana mifototra amin'ny navigateur. Famantarana amin'ny alΓ lan'ny navigateur mpampiasa (Captive Portal na Kerberos mangarahara). Matetika indrindra ampiasaina amin'ny fitaovana tsy ao amin'ny sehatra iray.
- Terminal Servers. Amin'ity tranga ity, ny famantarana dia atao amin'ny alΓ lan'ny mpandraharaha terminal manokana (apetraka amin'ny mpizara terminal).
Ireto no safidy telo mahazatra indrindra, saingy misy telo hafa:
- Identity Agents. Misy solontena manokana napetraka amin'ny solosain'ny mpampiasa.
- Identity collector. Fampiasa mitokana izay napetraka ao amin'ny Windows Server ary manangona diarin'ny fanamarinana fa tsy ny vavahady. Raha ny marina, safidy tsy maintsy atao ho an'ny mpampiasa marobe.
- RADIUS Accounting. Eny, ho aiza isika raha tsy misy ny RADIUS taloha tsara.
Amin'ity lesona ity dia hampiseho ny safidy faharoa aho - Browser-Based. Heveriko fa ampy ny thΓ©orie, andao hiroso aminβny fampiharana.
Video lesona
Araho hatrany raha te hahalala bebe kokoa ary hiaraka aminay π
Source: www.habr.com