欢迎来到周年纪念日 - 第十课。 今天我们将讨论另一个 Check Point 刀片 - 身份意识。 一开始,在描述NGFW时,我们确定它必须能够基于帐户而不是IP地址来调节访问。 这主要是由于用户移动性的增加以及 BYOD 模式(自带设备)的广泛传播。 一个公司里可能有很多人通过 WiFi 连接,接收动态 IP,甚至来自不同的网段。 尝试在此处创建基于 IP 号码的访问列表。 在这里你离不开用户身份识别。 身份意识刀片将在这件事上为我们提供帮助。
但首先,让我们弄清楚用户识别最常用于什么?
- 通过用户帐户而不是 IP 地址限制网络访问。 可以简单地管理对 Internet 和任何其他网段(例如 DMZ)的访问。
- 通过 VPN 访问。 同意用户使用自己的域帐户进行授权比使用另一个发明的密码要方便得多。
- 要管理 Check Point,您还需要一个可能拥有各种权限的帐户。
- 最好的部分是报告。 在报告中查看特定用户而不是他们的 IP 地址要好得多。
同时,Check Point 支持两种类型的账户:
- 本地内部用户。 用户是在管理服务器的本地数据库中创建的。
- 外部用户。 Microsoft Active Directory 或任何其他 LDAP 服务器可以充当外部用户库。
今天我们来谈谈网络访问。 为了控制网络访问,在存在 Active Directory 的情况下,所谓的 访问角色,它允许三个用户选项:
- 商业网络 - IE。 用户尝试连接的网络
- AD 用户或用户组 — 该数据直接从 AD 服务器提取
- 机械/机器 - 工作站。
在这种情况下,可以通过以下几种方式进行用户识别:
- 广告查询。 Check Point 读取 AD 服务器日志中经过身份验证的用户及其 IP 地址。 AD 域中的计算机会自动识别。
- 基于浏览器的身份验证。 通过用户浏览器(强制门户或透明 Kerberos)进行识别。 最常用于不在域中的设备。
- 终端服务器。 在这种情况下,使用特殊的终端代理(安装在终端服务器上)进行识别。
这是三个最常见的选项,但还有另外三个:
- 身份代理。 用户计算机上安装了特殊代理。
- 身份收集器。 安装在 Windows Server 上的单独实用程序,用于收集身份验证日志而不是网关。 事实上,这是大量用户的强制选项。
- RADIUS 记帐。 好吧,如果没有古老的 RADIUS,我们会在哪里?
在本教程中,我将演示第二个选项 - 基于浏览器。 我认为理论已经足够了,让我们继续实践吧。
影片教学
敬请关注更多并加入我们 🙂
来源: habr.com