โปรโฮสต์ > บล็อก > การบริหาร > 10. จุดตรวจสอบเริ่มต้นใช้งาน R80.20 การรับรู้ตัวตน

10. จุดตรวจสอบเริ่มต้นใช้งาน R80.20 การรับรู้ตัวตน

10. จุดตรวจสอบเริ่มต้นใช้งาน R80.20 การรับรู้ตัวตน

ยินดีต้อนรับสู่วันครบรอบ - บทเรียนที่ 10 และวันนี้เราจะพูดถึงใบมีด Check Point อีกอัน - การรับรู้ตัวตน. ในตอนแรก เมื่ออธิบาย NGFW เราได้พิจารณาแล้วว่าจะต้องสามารถควบคุมการเข้าถึงตามบัญชี ไม่ใช่ที่อยู่ IP สาเหตุหลักมาจากความคล่องตัวที่เพิ่มขึ้นของผู้ใช้และการแพร่กระจายของรูปแบบ BYOD ที่แพร่หลาย - นำอุปกรณ์ของคุณเองมาเอง อาจมีผู้คนจำนวนมากในบริษัทที่เชื่อมต่อผ่าน WiFi, รับ IP แบบไดนามิก และแม้กระทั่งจากกลุ่มเครือข่ายที่แตกต่างกัน ลองสร้างรายการเข้าถึงตามหมายเลข IP ที่นี่ ที่นี่คุณไม่สามารถทำได้หากไม่มีการระบุตัวตนผู้ใช้ และมันคือใบมีดการรับรู้ถึงตัวตนที่จะช่วยเราในเรื่องนี้

แต่ก่อนอื่นเรามาดูกันว่าการระบุผู้ใช้มักใช้เพื่ออะไร?

  1. เพื่อจำกัดการเข้าถึงเครือข่ายด้วยบัญชีผู้ใช้แทนที่จะเป็นที่อยู่ IP สามารถควบคุมการเข้าถึงได้ทั้งทางอินเทอร์เน็ตและส่วนเครือข่ายอื่นๆ เช่น DMZ
  2. เข้าถึงผ่าน VPN ยอมรับว่าผู้ใช้จะใช้บัญชีโดเมนของตนเพื่อขออนุมัติจะสะดวกกว่ามาก แทนที่จะใช้รหัสผ่านที่คิดขึ้นใหม่
  3. ในการจัดการ Check Point คุณต้องมีบัญชีที่อาจมีสิทธิ์ต่างๆ
  4. และส่วนที่ดีที่สุดคือการรายงาน การเห็นผู้ใช้บางรายในรายงานจะดีกว่ามากแทนที่จะเห็นที่อยู่ IP ของพวกเขา

ในเวลาเดียวกัน Check Point รองรับบัญชีสองประเภท:

  • ผู้ใช้ภายในท้องถิ่น. ผู้ใช้ถูกสร้างขึ้นในฐานข้อมูลท้องถิ่นของเซิร์ฟเวอร์การจัดการ
  • ผู้ใช้ภายนอก. Microsoft Active Directory หรือเซิร์ฟเวอร์ LDAP อื่นๆ สามารถทำหน้าที่เป็นฐานผู้ใช้ภายนอกได้

วันนี้เราจะพูดถึงการเข้าถึงเครือข่าย เพื่อควบคุมการเข้าถึงเครือข่ายเมื่อมี Active Directory เรียกว่า บทบาทการเข้าถึงซึ่งมีตัวเลือกผู้ใช้สามตัวเลือก:

  1. เครือข่าย - เช่น. เครือข่ายที่ผู้ใช้พยายามเชื่อมต่อด้วย
  2. ผู้ใช้ AD หรือกลุ่มผู้ใช้ — ข้อมูลนี้ถูกดึงโดยตรงจากเซิร์ฟเวอร์ AD
  3. เครื่อง - สถานีงาน.

ในกรณีนี้ การระบุตัวตนผู้ใช้สามารถทำได้หลายวิธี:

  • แบบสอบถามโฆษณา. Check Point อ่านบันทึกเซิร์ฟเวอร์ AD สำหรับผู้ใช้ที่ได้รับการรับรองความถูกต้องและที่อยู่ IP ของพวกเขา คอมพิวเตอร์ที่อยู่ในโดเมน AD จะถูกระบุโดยอัตโนมัติ
  • การรับรองความถูกต้องโดยใช้เบราว์เซอร์. การระบุตัวตนผ่านเบราว์เซอร์ของผู้ใช้ (Captive Portal หรือ Transparent Kerberos) ส่วนใหญ่มักใช้กับอุปกรณ์ที่ไม่ได้อยู่ในโดเมน
  • เซิร์ฟเวอร์เทอร์มินัล. ในกรณีนี้ การระบุตัวตนจะดำเนินการโดยใช้ตัวแทนเทอร์มินัลพิเศษ (ติดตั้งบนเซิร์ฟเวอร์เทอร์มินัล)

นี่คือสามตัวเลือกที่พบบ่อยที่สุด แต่มีอีกสามตัวเลือก:

  • ตัวแทนระบุตัวตน. มีการติดตั้งตัวแทนพิเศษบนคอมพิวเตอร์ของผู้ใช้
  • นักสะสมตัวตน. ยูทิลิตี้แยกต่างหากที่ติดตั้งบน Windows Server และรวบรวมบันทึกการตรวจสอบสิทธิ์แทนเกตเวย์ อันที่จริงแล้วเป็นตัวเลือกบังคับสำหรับผู้ใช้จำนวนมาก
  • การบัญชีรัศมี. แล้วเราจะอยู่ที่ไหนถ้าไม่มี RADIUS แบบเก่าที่ดี

ในบทช่วยสอนนี้ ฉันจะสาธิตตัวเลือกที่สอง - แบบใช้เบราว์เซอร์ ฉันคิดว่าทฤษฎีเพียงพอแล้ว เรามาฝึกฝนกันดีกว่า

วิดีโอสอน

คอยติดตามข้อมูลเพิ่มเติมและเข้าร่วมกับเรา ช่องของ YouTube 🙂

ที่มา: will.com

เพิ่มความคิดเห็น