Välkommen till jubileum - 10:e lektion. Och idag kommer vi att prata om ett annat Check Point-blad - Identitetsmedvetenhet. I början, när vi beskrev NGFW, bestämde vi att det måste kunna reglera åtkomst baserat på konton, inte IP-adresser. Detta beror främst på användarnas ökade rörlighet och den utbredda spridningen av BYOD-modellen - ta med din egen enhet. Det kan finnas många människor i ett företag som ansluter via WiFi, får en dynamisk IP och till och med från olika nätverkssegment. Testa att skapa åtkomstlistor baserade på IP-nummer här. Här kan du inte klara dig utan användaridentifikation. Och det är Identity Awareness-bladet som kommer att hjälpa oss i denna fråga.
Men först, låt oss ta reda på vad användaridentifiering oftast används till?
- För att begränsa nätverksåtkomst av användarkonton snarare än av IP-adresser. Tillgången kan regleras både enkelt till Internet och till andra nätverkssegment, till exempel DMZ.
- Åtkomst via VPN. Håller med om att det är mycket bekvämare för användaren att använda sitt domänkonto för auktorisering, snarare än ett annat påhittat lösenord.
- För att hantera Check Point behöver du även ett konto som kan ha olika rättigheter.
- Och det bästa är att rapportera. Det är mycket trevligare att se specifika användare i rapporter snarare än deras IP-adresser.
Samtidigt stöder Check Point två typer av konton:
- Lokala interna användare. Användaren skapas i hanteringsserverns lokala databas.
- Externa användare. Den externa användarbasen kan vara Microsoft Active Directory eller någon annan LDAP-server.
Idag kommer vi att prata om nätverksåtkomst. För att kontrollera nätverksåtkomst, i närvaro av Active Directory, den sk Åtkomstroll, som tillåter tre användaralternativ:
- nätverks - d.v.s. nätverket som användaren försöker ansluta till
- AD-användare eller användargrupp — dessa data hämtas direkt från AD-servern
- Maskinen - arbetsstation.
I det här fallet kan användaridentifiering utföras på flera sätt:
- AD-fråga. Check Point läser AD-serverloggarna för autentiserade användare och deras IP-adresser. Datorer som finns i AD-domänen identifieras automatiskt.
- Webbläsarbaserad autentisering. Identifiering genom användarens webbläsare (Captive Portal eller Transparent Kerberos). Används oftast för enheter som inte finns i en domän.
- Terminalservrar. I detta fall utförs identifieringen med en speciell terminalagent (installerad på terminalservern).
Det här är de tre vanligaste alternativen, men det finns tre till:
- Identitetsagenter. En speciell agent är installerad på användarnas datorer.
- Identitetssamlare. Ett separat verktyg som är installerat på Windows Server och samlar in autentiseringsloggar istället för gatewayen. Faktum är att ett obligatoriskt alternativ för ett stort antal användare.
- RADIUS Redovisning. Ja, var skulle vi vara utan den gamla goda RADIUS.
I den här handledningen kommer jag att demonstrera det andra alternativet - webbläsarbaserat. Jag tror att teori räcker, låt oss gå vidare till praktiken.
Video handledning
Håll utkik för mer och gå med oss
Källa: will.com