Ойн баярт тавтай морил - 10-р хичээл. Өнөөдөр бид өөр Check Point ирний тухай ярих болно - Өөрийгөө таниулах ухамсар. Бид NGFW-ийг тайлбарлахдаа хамгийн эхэнд IP хаягаар бус харин бүртгэлд тулгуурлан хандалтыг зохицуулах чадвартай байх ёстойг тодорхойлсон. Энэ нь юуны түрүүнд хэрэглэгчдийн хөдөлгөөн нэмэгдэж, BYOD загвар өргөн тархсантай холбоотой юм - өөрийн төхөөрөмжийг авчрах. Компанид WiFi-ээр холбогдож, динамик IP хүлээн авдаг, тэр ч байтугай сүлжээний өөр өөр сегментээс олон хүмүүс байж болно. Эндээс IP дугаар дээр тулгуурлан хандалтын жагсаалт үүсгэж үзнэ үү. Энд та хэрэглэгчийн тодорхойлолтгүйгээр хийх боломжгүй. Мөн энэ асуудалд бидэнд Identity Awareness хутга туслах болно.
Гэхдээ эхлээд хэрэглэгчийн таних тэмдгийг ямар зорилгоор ихэвчлэн ашигладаг болохыг олж мэдье?
- Сүлжээний хандалтыг IP хаягаар бус хэрэглэгчийн бүртгэлээр хязгаарлах. Хандалтыг интернет болон бусад сүлжээний сегментүүд, жишээлбэл DMZ зэрэгт зохицуулж болно.
- VPN-ээр нэвтрэх. Хэрэглэгчийн хувьд өөр нууц үг зохиохоос илүүтэйгээр өөрийн домэйн бүртгэлээ ашиглах нь илүү тохиромжтой гэдгийг хүлээн зөвшөөрч байна.
- Шалгах цэгийг удирдахын тулд танд янз бүрийн эрхтэй данс хэрэгтэй.
- Мөн хамгийн сайн тал нь мэдээлэх явдал юм. Тодорхой хэрэглэгчдийг IP хаягаас нь илүү тайланд харах нь илүү сайхан байдаг.
Үүний зэрэгцээ Check Point нь хоёр төрлийн дансыг дэмждэг.
- Орон нутгийн дотоод хэрэглэгчид. Хэрэглэгч нь удирдлагын серверийн локал мэдээллийн санд үүсгэгддэг.
- Гадаад хэрэглэгчид. Гадаад хэрэглэгчийн бааз нь Microsoft Active Directory эсвэл бусад LDAP сервер байж болно.
Өнөөдөр бид сүлжээнд нэвтрэх талаар ярих болно. Сүлжээний хандалтыг хянахын тулд Active Directory гэж нэрлэгддэг Хандалтын үүрэг, энэ нь хэрэглэгчийн гурван сонголтыг зөвшөөрдөг:
- Сүлжээний - өөрөөр хэлбэл хэрэглэгчийн холбогдохыг оролдож буй сүлжээ
- AD хэрэглэгч эсвэл хэрэглэгчийн бүлэг - энэ өгөгдлийг AD серверээс шууд татаж авдаг
- машины - ажлын байр.
Энэ тохиолдолд хэрэглэгчийн таних ажиллагааг хэд хэдэн аргаар хийж болно.
- AD Query. Check Point нь баталгаажуулсан хэрэглэгчид болон тэдний IP хаягуудад зориулсан AD серверийн бүртгэлийг уншдаг. AD домэйнд байгаа компьютерууд автоматаар тодорхойлогддог.
- Хөтөч дээр суурилсан баталгаажуулалт. Хэрэглэгчийн хөтөчөөр дамжуулан таних (Captive Portal эсвэл Transparent Kerberos). Ихэнхдээ домэйнд ороогүй төхөөрөмжүүдэд ашигладаг.
- Терминал серверүүд. Энэ тохиолдолд таних ажиллагааг тусгай терминал агент (терминал сервер дээр суулгасан) ашиглан гүйцэтгэдэг.
Эдгээр нь хамгийн түгээмэл гурван сонголт боловч өөр гурван сонголт байна:
- Баримт бичгийн агентууд. Хэрэглэгчдийн компьютер дээр тусгай агент суулгасан.
- Identity Collector. Windows Server дээр суулгасан тусдаа хэрэгсэл бөгөөд гарцын оронд баталгаажуулалтын бүртгэлийг цуглуулдаг. Үнэн хэрэгтээ олон тооны хэрэглэгчдэд зориулсан заавал байх ёстой сонголт.
- RADIUS Нягтлан бодох бүртгэл. Хуучин сайн РАДИУС байхгүй бол бид хаана байх байсан бол.
Энэ зааварт би хоёрдахь хувилбар болох Хөтөч дээр суурилсан хувилбарыг харуулах болно. Онол хангалттай гэж бодож байна, практик руугаа орцгооё.
Видео хичээл
Илүү ихийг хүлээн авч бидэнтэй нэгдээрэй 🙂
Эх сурвалж: www.habr.com