Merħba għall-anniversarju - l-10 lezzjoni. U llum se nitkellmu dwar xafra Check Point oħra - Għarfien tal-Identità. Fil-bidu nett, meta ddeskrivejna NGFW, iddeterminajna li għandha tkun kapaċi tirregola l-aċċess ibbażat fuq kontijiet, mhux indirizzi IP. Dan huwa primarjament minħabba ż-żieda fil-mobilità tal-utenti u t-tixrid mifrux tal-mudell BYOD - ġib it-tagħmir tiegħek. Jista 'jkun hemm ħafna nies f'kumpanija li jgħaqqdu permezz tal-WiFi, jirċievu IP dinamiku, u anke minn segmenti tan-netwerk differenti. Ipprova oħloq listi ta' aċċess ibbażati fuq numri IP hawn. Hawnhekk ma tistax tagħmel mingħajr identifikazzjoni tal-utent. U hija x-xafra tal-Identity Awareness li tgħinna f'din il-kwistjoni.
Imma l-ewwel, ejja nsemmu għal liema identifikazzjoni tal-utent tintuża l-aktar?
- Biex tirrestrinġi l-aċċess għan-netwerk mill-kontijiet tal-utent aktar milli mill-indirizzi IP. L-aċċess jista' jiġi rregolat kemm sempliċement għall-Internet kif ukoll għal kwalunkwe segment ieħor tan-netwerk, pereżempju DMZ.
- Aċċess permezz VPN. Naqbel li huwa ħafna aktar konvenjenti għall-utent li juża l-kont tad-dominju tiegħu għall-awtorizzazzjoni, aktar milli password ivvintata oħra.
- Biex tmexxi Check Point, għandek bżonn ukoll kont li jista' jkollu diversi drittijiet.
- U l-aħjar parti hija r-rappurtar. Huwa ħafna aħjar li tara utenti speċifiċi fir-rapporti aktar milli fl-indirizzi IP tagħhom.
Fl-istess ħin, Check Point jappoġġja żewġ tipi ta’ kontijiet:
- Utenti Interni Lokali. L-utent huwa maħluq fid-database lokali tas-server ta 'ġestjoni.
- Utenti Esterni. Microsoft Active Directory jew kwalunkwe server LDAP ieħor jistgħu jaġixxu bħala bażi ta' utenti esterni.
Illum se nitkellmu dwar l-aċċess għan-netwerk. Biex tikkontrolla l-aċċess għan-netwerk, fil-preżenza ta 'Active Directory, l-hekk imsejħa Aċċess Rwol, li tippermetti tliet għażliet għall-utent:
- Netwerk - i.e. in-netwerk li l-utent qed jipprova jikkonnettja miegħu
- Utent AD jew Grupp ta' Utenti — din id-dejta tinġibed direttament mis-server AD
- Magni - stazzjon tax-xogħol.
F'dan il-każ, l-identifikazzjoni tal-utent tista' ssir b'diversi modi:
- Mistoqsija AD. Check Point jaqra r-reġistri tas-server AD għall-utenti awtentikati u l-indirizzi IP tagħhom. Kompjuters li huma fid-dominju AD huma identifikati awtomatikament.
- Awtentikazzjoni Ibbażata fuq Browser. Identifikazzjoni permezz tal-browser tal-utent (Captive Portal jew Transparent Kerberos). Ħafna drabi jintuża għal apparati li mhumiex f'dominju.
- Servers tat-Terminal. F'dan il-każ, l-identifikazzjoni titwettaq bl-użu ta 'aġent terminali speċjali (installat fuq is-server tat-terminal).
Dawn huma l-aktar tliet għażliet komuni, iżda hemm tlieta oħra:
- Aġenti tal-Identità. Aġent speċjali huwa installat fuq il-kompjuters tal-utenti.
- Kollettur tal-Identità. Utilità separata li hija installata fuq Windows Server u tiġbor zkuk tal-awtentikazzjoni minflok il-portal. Fil-fatt, għażla obbligatorja għal għadd kbir ta 'utenti.
- RADIUS Kontabilità. Ukoll, fejn inkunu mingħajr ir-RAJUS qadim tajjeb.
F'dan it-tutorja ser nuri t-tieni għażla - Ibbażat fuq Browser. Naħseb li t-teorija hija biżżejjed, ejja ngħaddu għall-prattika.
Lezzjoni bil-vidjo
Oqgħod attent għal aktar u ingħaqad tagħna
Sors: www.habr.com