ProHoster > blogg > administration > 10. Check Point Komma igång R80.20. Identitetsmedvetenhet

10. Check Point Komma igång R80.20. Identitetsmedvetenhet

10. Check Point Komma igång R80.20. Identitetsmedvetenhet

Välkommen till jubileum - 10:e lektion. Och idag kommer vi att prata om ett annat Check Point-blad - Identitetsmedvetenhet. I början, när vi beskrev NGFW, bestämde vi att det måste kunna reglera åtkomst baserat på konton, inte IP-adresser. Detta beror främst på användarnas ökade rörlighet och den utbredda spridningen av BYOD-modellen - ta med din egen enhet. Det kan finnas många människor i ett företag som ansluter via WiFi, får en dynamisk IP och till och med från olika nätverkssegment. Testa att skapa åtkomstlistor baserade på IP-nummer här. Här kan du inte klara dig utan användaridentifikation. Och det är Identity Awareness-bladet som kommer att hjälpa oss i denna fråga.

Men först, låt oss ta reda på vad användaridentifiering oftast används till?

  1. För att begränsa nätverksåtkomst av användarkonton snarare än av IP-adresser. Tillgången kan regleras både enkelt till Internet och till andra nätverkssegment, till exempel DMZ.
  2. Åtkomst via VPN. Håller med om att det är mycket bekvämare för användaren att använda sitt domänkonto för auktorisering, snarare än ett annat påhittat lösenord.
  3. För att hantera Check Point behöver du även ett konto som kan ha olika rättigheter.
  4. Och det bästa är att rapportera. Det är mycket trevligare att se specifika användare i rapporter snarare än deras IP-adresser.

Samtidigt stöder Check Point två typer av konton:

  • Lokala interna användare. Användaren skapas i hanteringsserverns lokala databas.
  • Externa användare. Den externa användarbasen kan vara Microsoft Active Directory eller någon annan LDAP-server.

Idag kommer vi att prata om nätverksåtkomst. För att kontrollera nätverksåtkomst, i närvaro av Active Directory, den sk Åtkomstroll, som tillåter tre användaralternativ:

  1. nätverks - d.v.s. nätverket som användaren försöker ansluta till
  2. AD-användare eller användargrupp — dessa data hämtas direkt från AD-servern
  3. Maskinen - arbetsstation.

I det här fallet kan användaridentifiering utföras på flera sätt:

  • AD-fråga. Check Point läser AD-serverloggarna för autentiserade användare och deras IP-adresser. Datorer som finns i AD-domänen identifieras automatiskt.
  • Webbläsarbaserad autentisering. Identifiering genom användarens webbläsare (Captive Portal eller Transparent Kerberos). Används oftast för enheter som inte finns i en domän.
  • Terminalservrar. I detta fall utförs identifieringen med en speciell terminalagent (installerad på terminalservern).

Det här är de tre vanligaste alternativen, men det finns tre till:

  • Identitetsagenter. En speciell agent är installerad på användarnas datorer.
  • Identitetssamlare. Ett separat verktyg som är installerat på Windows Server och samlar in autentiseringsloggar istället för gatewayen. Faktum är att ett obligatoriskt alternativ för ett stort antal användare.
  • RADIUS Redovisning. Ja, var skulle vi vara utan den gamla goda RADIUS.

I den här handledningen kommer jag att demonstrera det andra alternativet - webbläsarbaserat. Jag tror att teori räcker, låt oss gå vidare till praktiken.

Video handledning

Håll utkik för mer och gå med oss YouTube-kanal 🙂

Källa: will.com

Lägg en kommentar