欢迎来到周年纪念-第十课。 今天,我们将讨论另一个Check Point刀片服务器-
身份意识 。 一开始,在描述NGFW时,我们确定他必须根据帐户而不是IP地址来规范访问。 这主要是由于用户移动性的提高以及BYOD模型的广泛使用-带上您自己的设备。 该公司可能有一堆人通过WiFi进行连接,获得动态IP,甚至来自不同的网段。 尝试在此处基于ip-shnikov创建访问列表。 在这里您不能没有用户标识。 这就是身份意识刀片,它将在这件事上为我们提供帮助。
但是首先,让我们弄清楚用户标识最常用于什么目的。
- 通过用户帐户而不是IP地址限制网络访问。 可以简单地控制对Internet以及对任何其他网段(例如DMZ)的访问。
- VPN访问。 同意用户使用其域帐户进行授权比使用其他发明的密码更为方便。
- 要管理Check Point,您还需要一个具有各种权限的帐户。
- 最有趣的部分是报告。 在报告中看到特定用户,而不是其IP地址,会更好。
同时,Check Point支持两种类型的帐户:
- 本地内部用户 。 在管理服务器的本地数据库中创建用户。
- 外部用户 。 Microsoft Active Directory或任何其他LDAP服务器都可以充当外部用户数据库。
今天我们将讨论网络访问。 为了控制网络访问,在存在Active Directory的情况下,所谓的“
访问角色”用作对象(源或目标),它允许您使用三个用户参数:
- 网络 -即 用户尝试连接的网络
- AD用户或用户组 -此数据直接从AD服务器提取
- 机器 -工作站。
同时,可以通过多种方式执行用户身份验证:
- 广告查询 。 Check Point读取AD服务器日志以获取经过身份验证的用户及其IP地址。 自动识别AD域中的计算机。
- 基于浏览器的身份验证 。 通过用户浏览器(强制门户或透明Kerberos)进行身份验证。 最常用于不在域中的设备。
- 终端服务器 。 在这种情况下,使用特殊的终端代理(安装在终端服务器上)进行识别。
这是三个最常见的选项,但还有三个:
- 身份代理 。 在用户的计算机上安装了一个特殊的代理。
- 身份收集器 。 Windows Server上安装的一个单独的实用程序,用于收集身份验证日志而不是网关。 实际上,这是具有大量用户的强制选项。
- RADIUS记帐 。 好吧,那里没有好的旧RADIUS。
在本教程中,我将演示第二个选项-基于浏览器。 我认为理论足够多,让我们继续练习。
录像课
敬请关注,并加入我们的
YouTube频道 :)