ยินดีต้อนรับสู่วันครบรอบ - บทเรียนที่ 10 และวันนี้เราจะพูดถึงใบมีด Check Point อีกอัน - การรับรู้ตัวตน. ในตอนแรก เมื่ออธิบาย NGFW เราได้พิจารณาแล้วว่าจะต้องสามารถควบคุมการเข้าถึงตามบัญชี ไม่ใช่ที่อยู่ IP สาเหตุหลักมาจากความคล่องตัวที่เพิ่มขึ้นของผู้ใช้และการแพร่กระจายของรูปแบบ BYOD ที่แพร่หลาย - นำอุปกรณ์ของคุณเองมาเอง อาจมีผู้คนจำนวนมากในบริษัทที่เชื่อมต่อผ่าน WiFi, รับ IP แบบไดนามิก และแม้กระทั่งจากกลุ่มเครือข่ายที่แตกต่างกัน ลองสร้างรายการเข้าถึงตามหมายเลข IP ที่นี่ ที่นี่คุณไม่สามารถทำได้หากไม่มีการระบุตัวตนผู้ใช้ และมันคือใบมีดการรับรู้ถึงตัวตนที่จะช่วยเราในเรื่องนี้
แต่ก่อนอื่นเรามาดูกันว่าการระบุผู้ใช้มักใช้เพื่ออะไร?
- เพื่อจำกัดการเข้าถึงเครือข่ายด้วยบัญชีผู้ใช้แทนที่จะเป็นที่อยู่ IP สามารถควบคุมการเข้าถึงได้ทั้งทางอินเทอร์เน็ตและส่วนเครือข่ายอื่นๆ เช่น DMZ
- เข้าถึงผ่าน VPN ยอมรับว่าผู้ใช้จะใช้บัญชีโดเมนของตนเพื่อขออนุมัติจะสะดวกกว่ามาก แทนที่จะใช้รหัสผ่านที่คิดขึ้นใหม่
- ในการจัดการ Check Point คุณต้องมีบัญชีที่อาจมีสิทธิ์ต่างๆ
- และส่วนที่ดีที่สุดคือการรายงาน การเห็นผู้ใช้บางรายในรายงานจะดีกว่ามากแทนที่จะเห็นที่อยู่ IP ของพวกเขา
ในเวลาเดียวกัน Check Point รองรับบัญชีสองประเภท:
- ผู้ใช้ภายในท้องถิ่น. ผู้ใช้ถูกสร้างขึ้นในฐานข้อมูลท้องถิ่นของเซิร์ฟเวอร์การจัดการ
- ผู้ใช้ภายนอก. Microsoft Active Directory หรือเซิร์ฟเวอร์ LDAP อื่นๆ สามารถทำหน้าที่เป็นฐานผู้ใช้ภายนอกได้
วันนี้เราจะพูดถึงการเข้าถึงเครือข่าย เพื่อควบคุมการเข้าถึงเครือข่ายเมื่อมี Active Directory เรียกว่า บทบาทการเข้าถึงซึ่งมีตัวเลือกผู้ใช้สามตัวเลือก:
- เครือข่าย - เช่น. เครือข่ายที่ผู้ใช้พยายามเชื่อมต่อด้วย
- ผู้ใช้ AD หรือกลุ่มผู้ใช้ — ข้อมูลนี้ถูกดึงโดยตรงจากเซิร์ฟเวอร์ AD
- เครื่อง - สถานีงาน.
ในกรณีนี้ การระบุตัวตนผู้ใช้สามารถทำได้หลายวิธี:
- แบบสอบถามโฆษณา. Check Point อ่านบันทึกเซิร์ฟเวอร์ AD สำหรับผู้ใช้ที่ได้รับการรับรองความถูกต้องและที่อยู่ IP ของพวกเขา คอมพิวเตอร์ที่อยู่ในโดเมน AD จะถูกระบุโดยอัตโนมัติ
- การรับรองความถูกต้องโดยใช้เบราว์เซอร์. การระบุตัวตนผ่านเบราว์เซอร์ของผู้ใช้ (Captive Portal หรือ Transparent Kerberos) ส่วนใหญ่มักใช้กับอุปกรณ์ที่ไม่ได้อยู่ในโดเมน
- เซิร์ฟเวอร์เทอร์มินัล. ในกรณีนี้ การระบุตัวตนจะดำเนินการโดยใช้ตัวแทนเทอร์มินัลพิเศษ (ติดตั้งบนเซิร์ฟเวอร์เทอร์มินัล)
นี่คือสามตัวเลือกที่พบบ่อยที่สุด แต่มีอีกสามตัวเลือก:
- ตัวแทนระบุตัวตน. มีการติดตั้งตัวแทนพิเศษบนคอมพิวเตอร์ของผู้ใช้
- นักสะสมตัวตน. ยูทิลิตี้แยกต่างหากที่ติดตั้งบน Windows Server และรวบรวมบันทึกการตรวจสอบสิทธิ์แทนเกตเวย์ อันที่จริงแล้วเป็นตัวเลือกบังคับสำหรับผู้ใช้จำนวนมาก
- การบัญชีรัศมี. แล้วเราจะอยู่ที่ไหนถ้าไม่มี RADIUS แบบเก่าที่ดี
ในบทช่วยสอนนี้ ฉันจะสาธิตตัวเลือกที่สอง - แบบใช้เบราว์เซอร์ ฉันคิดว่าทฤษฎีเพียงพอแล้ว เรามาฝึกฝนกันดีกว่า
วิดีโอสอน
คอยติดตามข้อมูลเพิ่มเติมและเข้าร่วมกับเรา
ที่มา: will.com