Chào mừng đến với buổi kỷ niệm - bài học thứ 10. Và hôm nay chúng ta sẽ nói về một thanh Check Point khác - Nhận thức về danh tính. Ngay từ đầu, khi mô tả NGFW, chúng tôi đã xác định rằng nó phải có khả năng điều chỉnh quyền truy cập dựa trên tài khoản chứ không phải địa chỉ IP. Điều này chủ yếu là do khả năng di chuyển ngày càng tăng của người dùng và sự phổ biến rộng rãi của mô hình BYOD - hãy mang theo thiết bị của riêng bạn. Có thể có nhiều người trong công ty kết nối qua WiFi, nhận IP động và thậm chí từ các phân đoạn mạng khác nhau. Hãy thử tạo danh sách truy cập dựa trên số IP tại đây. Ở đây bạn không thể làm gì nếu không có nhận dạng người dùng. Và chính lưỡi Nhận thức Danh tính sẽ giúp ích cho chúng ta trong vấn đề này.
Nhưng trước tiên, hãy tìm hiểu xem nhận dạng người dùng thường được sử dụng để làm gì?
- Để hạn chế quyền truy cập mạng bằng tài khoản người dùng thay vì địa chỉ IP. Quyền truy cập có thể được điều chỉnh một cách đơn giản đối với Internet và bất kỳ phân đoạn mạng nào khác, ví dụ như DMZ.
- Truy cập qua VPN. Đồng ý rằng sẽ thuận tiện hơn nhiều cho người dùng khi sử dụng tài khoản miền của mình để ủy quyền thay vì sử dụng một mật khẩu được phát minh khác.
- Để quản lý Check Point, bạn cũng cần có một tài khoản có thể có nhiều quyền khác nhau.
- Và phần tốt nhất là báo cáo. Sẽ tốt hơn nhiều khi xem những người dùng cụ thể trong báo cáo thay vì địa chỉ IP của họ.
Đồng thời, Check Point hỗ trợ XNUMX loại tài khoản:
- Người dùng nội bộ địa phương. Người dùng được tạo trong cơ sở dữ liệu cục bộ của máy chủ quản lý.
- Người sử dụng bên ngoài. Cơ sở người dùng bên ngoài có thể là Microsoft Active Directory hoặc bất kỳ máy chủ LDAP nào khác.
Hôm nay chúng ta sẽ nói về truy cập mạng. Để kiểm soát truy cập mạng, với sự hiện diện của Active Directory, cái gọi là Vai trò truy cập, cho phép ba tùy chọn người dùng:
- mạng - I E. mạng mà người dùng đang cố gắng kết nối
- Người dùng hoặc nhóm người dùng AD — dữ liệu này được lấy trực tiếp từ máy chủ AD
- - trạm làm việc.
Trong trường hợp này, việc nhận dạng người dùng có thể được thực hiện theo nhiều cách:
- Truy vấn QUẢNG CÁO. Check Point đọc nhật ký máy chủ AD của những người dùng được xác thực và địa chỉ IP của họ. Các máy tính nằm trong miền AD sẽ được xác định tự động.
- Xác thực dựa trên trình duyệt. Nhận dạng thông qua trình duyệt của người dùng (Cổng bị khóa hoặc Kerberos trong suốt). Thường được sử dụng cho các thiết bị không nằm trong miền.
- Máy chủ đầu cuối. Trong trường hợp này, việc nhận dạng được thực hiện bằng cách sử dụng một tác nhân đầu cuối đặc biệt (được cài đặt trên máy chủ đầu cuối).
Đây là ba tùy chọn phổ biến nhất, nhưng còn có ba tùy chọn khác:
- Đại lý nhận dạng. Một tác nhân đặc biệt được cài đặt trên máy tính của người dùng.
- Trình thu thập danh tính. Một tiện ích riêng biệt được cài đặt trên Windows Server và thu thập nhật ký xác thực thay vì cổng. Trên thực tế, đây là một lựa chọn bắt buộc đối với số lượng lớn người dùng.
- Kế toán RADIUS. Chà, chúng ta sẽ ở đâu nếu không có RADIUS cũ tốt.
Trong hướng dẫn này, tôi sẽ trình bày tùy chọn thứ hai - Dựa trên trình duyệt. Tôi nghĩ lý thuyết là đủ, hãy chuyển sang thực hành.
Video hướng dẫn
Hãy theo dõi để biết thêm và tham gia với chúng tôi ????
Nguồn: www.habr.com