Check Point 教育訓練 day6

為什麼需要穿越使用者認證：

1、使用DHCP配置設定位址，區分使用者權利

2、CIO希望記錄使用者流量習慣

3、在一個被限制的網絡，允許一個技術人員臨時下載下傳驅動和防病毒軟體

4、你希望對你的外部站點提供防火牆以外的，更進一步的密碼安全

User Authentication介紹：

1、隻能夠支援HTTP/HTTPS FTP Telnet RLOGIN

2、User Authentication是基于每一個Connection

3、認證觸發方式類似Cisco的Cute-Through

認證規則不會丢棄認證失敗的流量。

認證不過政策失效，繼續向下查找。

Session Authentication介紹：

1、需要安裝Session Authentication agent

2、任何服務的每一次會話都能被認證

3、Session Authentication合并了user和client認證

4、限制不要使用Session Authentication技術對是以協定進行認證，因為這樣會影響到DNS，NBT broadcast這些協定

Client Authentication介紹：

1、User Auth和Session Auth都是Per-Session的，每一次新的連接配接都需要輸入一個使用者名和密碼，Client Auth和cisco的cut-through非常類似，一旦認證成功，一段時間或者一定次數的Session以内不會再要求使用者提供使用者名和密碼。

2、Client Auth認證不是對使用者透明的，使用者需要先到防火牆上去做一個預認證，認證成功後才能通路資源。

3、Client Auth對于多使用者的環境很不安全，因為任何一個使用者認證成功，其他使用者也同樣可以通路了。

Client Auth其他認證方式：

partially auto：http，ftp，telnet和RLOGIN使用user_auth，其他協定使用client auth的manual auth

full auto：http，ftp，telnet和RLOGIN使用user_auth，其他協定使用Session auth，manual auth依然存在

agent auto：所有協定都使用session auth，manual auth依然存在

single sign-ON：使用user authority server實作一次性登陸

Identity Awareness介紹：

1、IA技術，基于網絡位置，使用者身份，和裝置身份來決定網絡的通路與審計。

2、IA技術，在SmartView Tracker和SmartEvent中顯示使用者活動，根據使用者和機器的名字，并不僅僅隻是IP位址。

AD Query介紹：

1、推薦用于：基于身份的審計與日志、基于身份的網際網路應用程式控制、基于身份的内部網絡通路控制

2、輕松部署，無用戶端模式，基于活動目錄的整合

3、對客戶透明

Browser-Based Authentication：

1、網頁認證用于擷取不能識别使用者的身份資訊

2、擷取的方式：彈出首頁、透明kerberos認證

---------待更新-------------

本文轉自Grodd51CTO部落格，原文連結：http://blog.51cto.com/juispan/2053824，如需轉載請自行聯系原作者