Yubileyga xush kelibsiz - 10-dars. Va bugun biz yana bir Check Point pichog'i haqida gaplashamiz - Shaxsni anglash. Eng boshida, NGFW ni tavsiflashda, biz IP manzillar emas, balki hisoblar asosida kirishni tartibga solishi kerakligini aniqladik. Bu, birinchi navbatda, foydalanuvchilarning harakatchanligi oshishi va BYOD modelining keng tarqalishi bilan bog'liq - o'z qurilmangizni olib keling. Kompaniyada WiFi orqali ulanadigan, dinamik IP-ni qabul qiladigan va hatto turli tarmoq segmentlaridan ko'p odamlar bo'lishi mumkin. Bu yerda IP raqamlari asosida kirish roΚ»yxatlarini yaratib koΚ»ring. Bu erda siz foydalanuvchi identifikatorisiz qilolmaysiz. Va bu masalada bizga Identity Awareness blade yordam beradi.
Lekin birinchi navbatda, foydalanuvchi identifikatsiyasi qaysi maqsadda ko'proq ishlatilishini aniqlaylik?
- Tarmoqqa kirishni IP manzillar orqali emas, balki foydalanuvchi hisoblari orqali cheklash. Kirish oddiygina Internetga ham, boshqa tarmoq segmentlariga ham tartibga solinishi mumkin, masalan, DMZ.
- VPN orqali kirish. Foydalanuvchi uchun avtorizatsiya qilish uchun boshqa ixtiro qilingan paroldan ko'ra o'z domen hisob qaydnomasidan foydalanish ancha qulayroq ekanligiga rozi bo'ling.
- Check Point-ni boshqarish uchun sizga turli huquqlarga ega bo'lgan hisob ham kerak bo'ladi.
- Va eng yaxshi qismi hisobot berishdir. Hisobotlarda ularning IP manzillarini emas, balki aniq foydalanuvchilarni ko'rish juda yoqimli.
Shu bilan birga, Check Point ikki turdagi hisoblarni qo'llab-quvvatlaydi:
- Mahalliy ichki foydalanuvchilar. Foydalanuvchi boshqaruv serverining mahalliy ma'lumotlar bazasida yaratiladi.
- Tashqi foydalanuvchilar. Tashqi foydalanuvchi bazasi Microsoft Active Directory yoki boshqa LDAP serveri bo'lishi mumkin.
Bugun biz tarmoqqa kirish haqida gaplashamiz. Tarmoqqa kirishni boshqarish uchun, Active Directory mavjudligida, deb ataladi Kirish roli, bu uchta foydalanuvchi opsiyasiga imkon beradi:
- tarmoq - ya'ni. foydalanuvchi ulanishga harakat qilayotgan tarmoq
- AD foydalanuvchisi yoki foydalanuvchi guruhi β bu maΚΌlumotlar toΚ»gΚ»ridan-toΚ»gΚ»ri AD serveridan olinadi
- mashina - ish stantsiyasi.
Bunday holda, foydalanuvchi identifikatsiyasi bir necha usul bilan amalga oshirilishi mumkin:
- AD so'rovi. Tekshirish nuqtasi autentifikatsiya qilingan foydalanuvchilar va ularning IP manzillari uchun AD server jurnallarini o'qiydi. AD domenidagi kompyuterlar avtomatik ravishda aniqlanadi.
- Brauzerga asoslangan autentifikatsiya. Foydalanuvchi brauzeri orqali identifikatsiya qilish (Captive Portal yoki Transparent Kerberos). Ko'pincha domenda bo'lmagan qurilmalar uchun ishlatiladi.
- Terminal serverlari. Bunday holda, identifikatsiyalash maxsus terminal agenti (terminal serveriga o'rnatilgan) yordamida amalga oshiriladi.
Bu uchta eng keng tarqalgan variant, ammo yana uchtasi bor:
- Identifikatsiya agentlari. Foydalanuvchilarning kompyuterlarida maxsus agent o'rnatilgan.
- Identifikatsiya kollektori. Windows Serverda o'rnatilgan va shlyuz o'rniga autentifikatsiya jurnallarini to'playdigan alohida yordamchi dastur. Aslida, ko'p sonli foydalanuvchilar uchun majburiy variant.
- RADIUS hisobi. Qadimgi RADIUS bo'lmasa, biz qayerda bo'lardik.
Ushbu qo'llanmada men ikkinchi variantni ko'rsataman - brauzerga asoslangan. Nazariya yetarli deb oβylayman, amaliyotga oβtamiz.
Video dars
Ko'proq ma'lumot uchun bizni kuzatib boring va bizga qo'shiling π
Manba: www.habr.com