访问服务器为什么需要智能身份识别

早期防火墙是通过IP地址或端口来控制用户资源访问的，但通过“IP地址+端口”的方式很难控制及识别用户，从而存在安全隐患，而智能身份识别能够识别用户和用户所使用的计算机，进而可以对用户的网络行为进行访问控制，最终达到安全的目的。 Checkpoint防火墙主要是通过以下几种方式获取用户身份 1、AD query 通过微软Ad server来获得用户的身份信息、适用于大型网络，用户较多的环境。结合AD域只针对用户的AD记录来进行认证，不再针对IP地址一类信息。 （1）    安全网关从AD服务器上获得安全事件日志； （2）    用户登录到域； （3）    域服务器发送安全事件日志给安全网关，安全网关获取到用户的IP和用户相关信息（如用户的域信息，计算机名和源IP地址）； （4）    用户要访问Internet； （5）    安全网关确认用户身份后，根据策略决定是否允许用户访问Internet。 2、通过浏览器捕获身份 使用基于浏览器捕获身份认证信息。适用于非微软AD用户，通过浏览器来访问web资源。 流程如下： （1）    用户从外部发起到datacenter的访问； （2）    防火墙IA模块没有识别出用户，然后重定向用户的访问至Web portal界面； （3）    用户输入自己的认证信息：可以使AD/LDAP/RADIUS等； （4）    认证信息被发送至防火墙，之后防火墙通过后边所连接的AD server来返回用户的认证结果； （5）    如果允许，则放通访问； （6）    如果不允许，则不能通过访问。 3、通过agent获得用户身份 基于agent的认证类型有两种： （1）    Endpoint Identity Agent：安装在用户PC上。 （2）    Terminal Servers Endpoint Identity Agent：安装在虚拟桌面系统中，能够识别同一IP源地址的不同用户。 认证流程如下： （1）    用户发起到datacenter访问； （2）    启用IA的安全网关向用户弹出web认证页面； （3）    用户在web界面中点击下载agent的链接； （4）    用户下载并安装Endpoint Identity Agent； （5）    用户通过这个agent去连接安全网关； （6）    用户认证通过，安全网关根据安全策略决定是否发起用户到目的地址的访问。 相同之处： 都有一个安全的身份识别的过程，都需要流量经过防火墙，然后通过防火墙来结合（AD域）来达到用户识别的目的。 不同之处： 有的是用浏览器来获取用户身份，而有的是用客户端来识别，还有结合浏览器和AD域来识别。 学习完整Check point智能身份识别课程，请点击“Check point智能身份识别”