智能身份识别

智能身份识别

访问服务器为什么需要智能身份识别

运维技术OT学习平台 发表了文章 • 0 个评论 • 82 次浏览 • 2017-09-28 17:11 • 来自相关话题

早期防火墙是通过IP地址或端口来控制用户资源访问的,但通过“IP地址+端口”的方式很难控制及识别用户,从而存在安全隐患,而智能身份识别能够识别用户和用户所使用的计算机,进而可以对用户的网络行为进行访问控制,最终达到安全的目的。

Checkpoint防火墙主要是通过以下几种方式获取用户身份

1、AD query

通过微软Ad server来获得用户的身份信息、适用于大型网络,用户较多的环境。结合AD域只针对用户的AD记录来进行认证,不再针对IP地址一类信息。

(1)    安全网关从AD服务器上获得安全事件日志;
(2)    用户登录到域;
(3)    域服务器发送安全事件日志给安全网关,安全网关获取到用户的IP和用户相关信息(如用户的域信息,计算机名和源IP地址);
(4)    用户要访问Internet;
(5)    安全网关确认用户身份后,根据策略决定是否允许用户访问Internet。

2、通过浏览器捕获身份

使用基于浏览器捕获身份认证信息。适用于非微软AD用户,通过浏览器来访问web资源。
流程如下:
(1)    用户从外部发起到datacenter的访问;
(2)    防火墙IA模块没有识别出用户,然后重定向用户的访问至Web portal界面;
(3)    用户输入自己的认证信息:可以使AD/LDAP/RADIUS等;
(4)    认证信息被发送至防火墙,之后防火墙通过后边所连接的AD server来返回用户的认证结果;
(5)    如果允许,则放通访问;
(6)    如果不允许,则不能通过访问。

3、通过agent获得用户身份

基于agent的认证类型有两种:

(1)    Endpoint Identity Agent:安装在用户PC上。
(2)    Terminal Servers Endpoint Identity Agent:安装在虚拟桌面系统中,能够识别同一IP源地址的不同用户。

认证流程如下:
(1)    用户发起到datacenter访问;
(2)    启用IA的安全网关向用户弹出web认证页面;
(3)    用户在web界面中点击下载agent的链接;
(4)    用户下载并安装Endpoint Identity Agent;
(5)    用户通过这个agent去连接安全网关;
(6)    用户认证通过,安全网关根据安全策略决定是否发起用户到目的地址的访问。

相同之处:

都有一个安全的身份识别的过程,都需要流量经过防火墙,然后通过防火墙来结合(AD域)来达到用户识别的目的。

不同之处:

有的是用浏览器来获取用户身份,而有的是用客户端来识别,还有结合浏览器和AD域来识别。

学习完整Check point智能身份识别课程,请点击“Check point智能身份识别” 查看全部
早期防火墙是通过IP地址或端口来控制用户资源访问的,但通过“IP地址+端口”的方式很难控制及识别用户,从而存在安全隐患,而智能身份识别能够识别用户和用户所使用的计算机,进而可以对用户的网络行为进行访问控制,最终达到安全的目的。

Checkpoint防火墙主要是通过以下几种方式获取用户身份

1、AD query

通过微软Ad server来获得用户的身份信息、适用于大型网络,用户较多的环境。结合AD域只针对用户的AD记录来进行认证,不再针对IP地址一类信息。

(1)    安全网关从AD服务器上获得安全事件日志;
(2)    用户登录到域;
(3)    域服务器发送安全事件日志给安全网关,安全网关获取到用户的IP和用户相关信息(如用户的域信息,计算机名和源IP地址);
(4)    用户要访问Internet;
(5)    安全网关确认用户身份后,根据策略决定是否允许用户访问Internet。

2、通过浏览器捕获身份

使用基于浏览器捕获身份认证信息。适用于非微软AD用户,通过浏览器来访问web资源。
流程如下:
(1)    用户从外部发起到datacenter的访问;
(2)    防火墙IA模块没有识别出用户,然后重定向用户的访问至Web portal界面;
(3)    用户输入自己的认证信息:可以使AD/LDAP/RADIUS等;
(4)    认证信息被发送至防火墙,之后防火墙通过后边所连接的AD server来返回用户的认证结果;
(5)    如果允许,则放通访问;
(6)    如果不允许,则不能通过访问。

3、通过agent获得用户身份

基于agent的认证类型有两种:


(1)    Endpoint Identity Agent:安装在用户PC上。
(2)    Terminal Servers Endpoint Identity Agent:安装在虚拟桌面系统中,能够识别同一IP源地址的不同用户。

认证流程如下:
(1)    用户发起到datacenter访问;
(2)    启用IA的安全网关向用户弹出web认证页面;
(3)    用户在web界面中点击下载agent的链接;
(4)    用户下载并安装Endpoint Identity Agent;
(5)    用户通过这个agent去连接安全网关;
(6)    用户认证通过,安全网关根据安全策略决定是否发起用户到目的地址的访问。


相同之处:

都有一个安全的身份识别的过程,都需要流量经过防火墙,然后通过防火墙来结合(AD域)来达到用户识别的目的。

不同之处:

有的是用浏览器来获取用户身份,而有的是用客户端来识别,还有结合浏览器和AD域来识别。

学习完整Check point智能身份识别课程,请点击“Check point智能身份识别

访问服务器为什么需要智能身份识别

运维技术OT学习平台 发表了文章 • 0 个评论 • 82 次浏览 • 2017-09-28 17:11 • 来自相关话题

早期防火墙是通过IP地址或端口来控制用户资源访问的,但通过“IP地址+端口”的方式很难控制及识别用户,从而存在安全隐患,而智能身份识别能够识别用户和用户所使用的计算机,进而可以对用户的网络行为进行访问控制,最终达到安全的目的。

Checkpoint防火墙主要是通过以下几种方式获取用户身份

1、AD query

通过微软Ad server来获得用户的身份信息、适用于大型网络,用户较多的环境。结合AD域只针对用户的AD记录来进行认证,不再针对IP地址一类信息。

(1)    安全网关从AD服务器上获得安全事件日志;
(2)    用户登录到域;
(3)    域服务器发送安全事件日志给安全网关,安全网关获取到用户的IP和用户相关信息(如用户的域信息,计算机名和源IP地址);
(4)    用户要访问Internet;
(5)    安全网关确认用户身份后,根据策略决定是否允许用户访问Internet。

2、通过浏览器捕获身份

使用基于浏览器捕获身份认证信息。适用于非微软AD用户,通过浏览器来访问web资源。
流程如下:
(1)    用户从外部发起到datacenter的访问;
(2)    防火墙IA模块没有识别出用户,然后重定向用户的访问至Web portal界面;
(3)    用户输入自己的认证信息:可以使AD/LDAP/RADIUS等;
(4)    认证信息被发送至防火墙,之后防火墙通过后边所连接的AD server来返回用户的认证结果;
(5)    如果允许,则放通访问;
(6)    如果不允许,则不能通过访问。

3、通过agent获得用户身份

基于agent的认证类型有两种:

(1)    Endpoint Identity Agent:安装在用户PC上。
(2)    Terminal Servers Endpoint Identity Agent:安装在虚拟桌面系统中,能够识别同一IP源地址的不同用户。

认证流程如下:
(1)    用户发起到datacenter访问;
(2)    启用IA的安全网关向用户弹出web认证页面;
(3)    用户在web界面中点击下载agent的链接;
(4)    用户下载并安装Endpoint Identity Agent;
(5)    用户通过这个agent去连接安全网关;
(6)    用户认证通过,安全网关根据安全策略决定是否发起用户到目的地址的访问。

相同之处:

都有一个安全的身份识别的过程,都需要流量经过防火墙,然后通过防火墙来结合(AD域)来达到用户识别的目的。

不同之处:

有的是用浏览器来获取用户身份,而有的是用客户端来识别,还有结合浏览器和AD域来识别。

学习完整Check point智能身份识别课程,请点击“Check point智能身份识别” 查看全部
早期防火墙是通过IP地址或端口来控制用户资源访问的,但通过“IP地址+端口”的方式很难控制及识别用户,从而存在安全隐患,而智能身份识别能够识别用户和用户所使用的计算机,进而可以对用户的网络行为进行访问控制,最终达到安全的目的。

Checkpoint防火墙主要是通过以下几种方式获取用户身份

1、AD query

通过微软Ad server来获得用户的身份信息、适用于大型网络,用户较多的环境。结合AD域只针对用户的AD记录来进行认证,不再针对IP地址一类信息。

(1)    安全网关从AD服务器上获得安全事件日志;
(2)    用户登录到域;
(3)    域服务器发送安全事件日志给安全网关,安全网关获取到用户的IP和用户相关信息(如用户的域信息,计算机名和源IP地址);
(4)    用户要访问Internet;
(5)    安全网关确认用户身份后,根据策略决定是否允许用户访问Internet。

2、通过浏览器捕获身份

使用基于浏览器捕获身份认证信息。适用于非微软AD用户,通过浏览器来访问web资源。
流程如下:
(1)    用户从外部发起到datacenter的访问;
(2)    防火墙IA模块没有识别出用户,然后重定向用户的访问至Web portal界面;
(3)    用户输入自己的认证信息:可以使AD/LDAP/RADIUS等;
(4)    认证信息被发送至防火墙,之后防火墙通过后边所连接的AD server来返回用户的认证结果;
(5)    如果允许,则放通访问;
(6)    如果不允许,则不能通过访问。

3、通过agent获得用户身份

基于agent的认证类型有两种:


(1)    Endpoint Identity Agent:安装在用户PC上。
(2)    Terminal Servers Endpoint Identity Agent:安装在虚拟桌面系统中,能够识别同一IP源地址的不同用户。

认证流程如下:
(1)    用户发起到datacenter访问;
(2)    启用IA的安全网关向用户弹出web认证页面;
(3)    用户在web界面中点击下载agent的链接;
(4)    用户下载并安装Endpoint Identity Agent;
(5)    用户通过这个agent去连接安全网关;
(6)    用户认证通过,安全网关根据安全策略决定是否发起用户到目的地址的访问。


相同之处:

都有一个安全的身份识别的过程,都需要流量经过防火墙,然后通过防火墙来结合(AD域)来达到用户识别的目的。

不同之处:

有的是用浏览器来获取用户身份,而有的是用客户端来识别,还有结合浏览器和AD域来识别。

学习完整Check point智能身份识别课程,请点击“Check point智能身份识别