ProHoster > Log > administrasjon > 10. Check Point Komme i gang R80.20. Identitetsbevissthet

10. Check Point Komme i gang R80.20. Identitetsbevissthet

10. Check Point Komme i gang R80.20. Identitetsbevissthet

Velkommen til jubileum - 10. leksjon. Og i dag skal vi snakke om et annet Check Point-blad - Identitetsbevissthet. Helt i begynnelsen, da vi beskrev NGFW, bestemte vi at den må kunne regulere tilgang basert på kontoer, ikke IP-adresser. Dette skyldes først og fremst den økte mobiliteten til brukerne og den utbredte spredningen av BYOD-modellen – ta med din egen enhet. Det kan være mange mennesker i et selskap som kobler til via WiFi, mottar en dynamisk IP, og til og med fra forskjellige nettverkssegmenter. Prøv å lage tilgangslister basert på IP-numre her. Her kan du ikke klare deg uten brukeridentifikasjon. Og det er Identity Awareness-bladet som vil hjelpe oss i denne saken.

Men først, la oss finne ut hva brukeridentifikasjon brukes oftest til?

  1. For å begrense nettverkstilgang av brukerkontoer i stedet for IP-adresser. Tilgang kan reguleres både enkelt til Internett og til andre nettverkssegmenter, for eksempel DMZ.
  2. Tilgang via VPN. Enig at det er mye mer praktisk for brukeren å bruke sin domenekonto for autorisasjon, i stedet for et annet oppfunnet passord.
  3. For å administrere Check Point trenger du også en konto som kan ha ulike rettigheter.
  4. Og det beste er å rapportere. Det er mye bedre å se spesifikke brukere i rapporter i stedet for deres IP-adresser.

Samtidig støtter Check Point to typer kontoer:

  • Lokale interne brukere. Brukeren opprettes i den lokale databasen til administrasjonsserveren.
  • Eksterne brukere. Den eksterne brukerbasen kan være Microsoft Active Directory eller en hvilken som helst annen LDAP-server.

I dag skal vi snakke om nettverkstilgang. For å kontrollere nettverkstilgang, i nærvær av Active Directory, den såkalte Tilgangsrolle, som tillater tre brukeralternativer:

  1. Network - dvs. nettverket brukeren prøver å koble seg til
  2. AD-bruker eller brukergruppe — disse dataene hentes direkte fra AD-serveren
  3. Machine - arbeidsstasjon.

I dette tilfellet kan brukeridentifikasjon utføres på flere måter:

  • AD-spørring. Check Point leser AD-serverloggene for autentiserte brukere og deres IP-adresser. Datamaskiner som er i AD-domenet identifiseres automatisk.
  • Nettleserbasert autentisering. Identifikasjon gjennom brukerens nettleser (Captive Portal eller Transparent Kerberos). Brukes oftest for enheter som ikke er i et domene.
  • Terminalservere. I dette tilfellet utføres identifisering ved hjelp av en spesiell terminalagent (installert på terminalserveren).

Dette er de tre vanligste alternativene, men det er tre til:

  • Identitetsagenter. En spesiell agent er installert på brukernes datamaskiner.
  • Identitetssamler. Et eget verktøy som er installert på Windows Server og samler inn autentiseringslogger i stedet for gatewayen. Faktisk et obligatorisk alternativ for et stort antall brukere.
  • RADIUS Regnskap. Vel, hvor ville vi vært uten den gode gamle RADIUS.

I denne opplæringen vil jeg demonstrere det andre alternativet - nettleserbasert. Jeg tror teori er nok, la oss gå videre til praksis.

Videoopplæring

Følg med for mer og bli med oss YouTube-kanal ????

Kilde: www.habr.com

Legg til en kommentar