ProHoster > Blog > Pentadbiran > 10. Check Point Bermula R80.20. Kesedaran Identiti

10. Check Point Bermula R80.20. Kesedaran Identiti

10. Check Point Bermula R80.20. Kesedaran Identiti

Selamat datang ke ulang tahun - pelajaran ke-10. Dan hari ini kita akan bercakap tentang bilah Check Point yang lain - Kesedaran Identiti. Pada awalnya, apabila menerangkan NGFW, kami menentukan bahawa ia mesti dapat mengawal selia akses berdasarkan akaun, bukan alamat IP. Ini disebabkan terutamanya oleh peningkatan mobiliti pengguna dan penyebaran meluas model BYOD - bawa peranti anda sendiri. Mungkin terdapat ramai orang dalam syarikat yang menyambung melalui WiFi, menerima IP dinamik dan juga daripada segmen rangkaian yang berbeza. Cuba buat senarai akses berdasarkan nombor IP di sini. Di sini anda tidak boleh melakukannya tanpa pengenalan pengguna. Dan bilah Kesedaran Identitilah yang akan membantu kami dalam perkara ini.

Tetapi pertama-tama, mari kita fikirkan pengenalan pengguna yang paling kerap digunakan?

  1. Untuk menyekat akses rangkaian oleh akaun pengguna dan bukannya oleh alamat IP. Akses boleh dikawal selia hanya kepada Internet dan kepada mana-mana segmen rangkaian lain, contohnya DMZ.
  2. Akses melalui VPN. Setuju bahawa adalah lebih mudah bagi pengguna untuk menggunakan akaun domainnya untuk kebenaran, berbanding kata laluan ciptaan lain.
  3. Untuk mengurus Check Point, anda juga memerlukan akaun yang mungkin mempunyai pelbagai hak.
  4. Dan bahagian yang terbaik adalah melaporkan. Adalah lebih baik untuk melihat pengguna tertentu dalam laporan berbanding alamat IP mereka.

Pada masa yang sama, Check Point menyokong dua jenis akaun:

  • Pengguna Dalaman Tempatan. Pengguna dicipta dalam pangkalan data tempatan pelayan pengurusan.
  • Pengguna Luaran. Pangkalan pengguna luaran boleh menjadi Microsoft Active Directory atau mana-mana pelayan LDAP lain.

Hari ini kita akan bercakap tentang akses rangkaian. Untuk mengawal akses rangkaian, dengan kehadiran Active Directory, apa yang dipanggil Peranan Akses, yang membenarkan tiga pilihan pengguna:

  1. rangkaian - iaitu rangkaian yang pengguna cuba sambungkan
  2. Pengguna AD atau Kumpulan Pengguna β€” data ini ditarik terus dari pelayan AD
  3. mesin - stesen kerja.

Dalam kes ini, pengenalan pengguna boleh dilakukan dalam beberapa cara:

  • Pertanyaan AD. Check Point membaca log pelayan AD untuk pengguna yang disahkan dan alamat IP mereka. Komputer yang berada dalam domain AD dikenal pasti secara automatik.
  • Pengesahan Berasaskan Pelayar. Pengenalpastian melalui pelayar pengguna (Portal Tawanan atau Kerberos Telus). Selalunya digunakan untuk peranti yang bukan dalam domain.
  • Pelayan Terminal. Dalam kes ini, pengenalan dijalankan menggunakan ejen terminal khas (dipasang pada pelayan terminal).

Ini adalah tiga pilihan yang paling biasa, tetapi terdapat tiga lagi:

  • Ejen Identiti. Ejen khas dipasang pada komputer pengguna.
  • Pengumpul Identiti. Utiliti berasingan yang dipasang pada Windows Server dan mengumpul log pengesahan dan bukannya get laluan. Malah, pilihan wajib untuk sejumlah besar pengguna.
  • Perakaunan RADIUS. Nah, di manakah kita tanpa RADIUS lama yang baik.

Dalam tutorial ini saya akan menunjukkan pilihan kedua - Berasaskan Pelayar. Saya rasa teori sudah cukup, mari kita teruskan kepada latihan.

Tutorial video

Nantikan lebih lanjut dan sertai kami Saluran YouTube (I.e.

Sumber: www.habr.com

Tambah komen