歡迎來到週年紀念日 - 第十課。 今天我們將討論另一個 Check Point 刀片 - 身分意識。 一開始,在描述NGFW時,我們確定它必須能夠基於帳戶而不是IP位址來調節存取。 這主要是由於用戶移動性的增加以及 BYOD 模式(自帶設備)的廣泛傳播。 一家公司裡可能有很多人透過 WiFi 連接,接收動態 IP,甚至來自不同的網段。 嘗試在此處建立基於 IP 號碼的存取清單。 在這裡你離不開用戶識別。 身份意識刀片將在這件事上為我們提供幫助。
但首先,讓我們弄清楚用戶識別最常用於什麼?
- 透過使用者帳戶而不是 IP 位址限制網路存取。 可以簡單地管理對 Internet 和任何其他網段(例如 DMZ)的存取。
- 透過 VPN 存取。 同意使用者使用自己的網域帳戶進行授權比使用另一個發明的密碼要方便得多。
- 要管理 Check Point,您還需要一個可能擁有各種權限的帳戶。
- 最好的部分是報告。 在報告中查看特定用戶而不是他們的 IP 位址要好得多。
同時,Check Point 支援兩種類型的帳戶:
- 本地內部用戶。 使用者是在管理伺服器的本機資料庫中建立的。
- 外部用戶。 外部使用者庫可以是 Microsoft Active Directory 或任何其他 LDAP 伺服器。
今天我們來談談網路存取。 為了控製網路訪問,在存在 Active Directory 的情況下,所謂的 訪問角色,它允許三個用戶選項:
- 網絡 - IE。 使用者嘗試連接的網絡
- AD 使用者或使用者群組 — 此資料直接從 AD 伺服器擷取
- 機 - 工作站。
在這種情況下,可以透過以下幾種方式進行使用者識別:
- 廣告查詢。 Check Point 讀取 AD 伺服器日誌中經過驗證的使用者及其 IP 位址。 AD 網域中的電腦會自動辨識。
- 基於瀏覽器的身份驗證。 透過使用者瀏覽器(強制入口網站或透明 Kerberos)進行識別。 最常用於不在網域中的設備。
- 終端服務器。 在這種情況下,使用特殊的終端代理(安裝在終端伺服器上)進行識別。
這是三個最常見的選項,但還有另外三個:
- 身份代理。 用戶電腦上安裝了特殊代理程式。
- 身份收集器。 安裝在 Windows Server 上的單獨實用程序,用於收集驗證日誌而不是網關。 事實上,這是大量用戶的強制選項。
- RADIUS 計費。 好吧,如果沒有古老的 RADIUS,我們會在哪裡?
在本教程中,我將演示第二個選項 - 基於瀏覽器。 我認為理論已經足夠了,讓我們繼續實踐。
視頻課程
敬請關注更多並加入我們
來源: www.habr.com