使用使用者識別

在「 使用者感知 」頁中,可以打開或關閉邊欄選項卡,並使用設定精靈設定來源以獲取使用者資訊,以便進行日誌記錄和設定。

使用者感知允許您將Quantum Spark 設備設定為顯示基於使用者的日誌而不是基於 IP 位址的日誌,並對單個使用者和使用者群組關閉 具有相關職責的已命名使用者群組。實施訪關閉 UserCheck 規則動作可封鎖流量和檔案,並顯示 UserCheck 訊息。使用者可以同意允許該活動。控制。

若要使用使用者感知,必須設定標識方法以獲取有關使用者和使用者群組關閉 具有共用屬性的物件集合,例如使用者帳號。的資訊。閘道獲取使用者身份後,可以在存取政策中對網路流量強制執行基於使用者的規則關閉 規則庫中的一群組流量參數和其他條件,可導致針對通訊工作階段採取指定的動作。

使用者感知可以使用以下來源來識別使用者:

  • AD 查詢(Active Directory Query) - 無縫查詢 Active Directory 伺服器以獲取使用者資訊。

    安裝安全政策關閉 一群組規則集合,可控制網路流量並強制執行資料保護的組織準則,以及透過封包檢查來存取資源。時,Quantum Spark 設備會註冊以從 AD 網域控制器接收安全事件日誌。這需要AD伺服器的管理者許可權。當使用者使用AD憑證進行身份驗證時,將產生這些事件日誌並將其發送到安全閘道關閉 一個專用的 Check Point 服務器,用於運行 Check Point 軟體來檢查流量並對連線的網路資源執行安全政策。。然後,Quantum Spark 設備可以根據 AD 安全事件日誌識別使用者。

  • 基於瀏覽器的身份驗證 - 使用門戶對本地定義的使用者進行身份驗證,或作為其他標識方法的備份。

    基於瀏覽器的身份驗證使用 Web 介面對使用者進行身份驗證,然後使用者才能存取網路資源或 Internet。當使用者嘗試訪問受保護的資源時,他們必須登錄到網頁才能繼續。這是一種標識本地定義的使用者或其他方法未成功識別的使用者的方法。您可以將基於瀏覽器的身份驗證設定為針對所有流量顯示,但由於此標識方法對最終使用者來說不是無縫的,因此通常將其設定為僅在您訪問特定網路資源或 Internet 時顯示,以避免最終使用者在標識自己時所需的開銷。對於不基於 HTTP 的流量,您還可以設定阻止所有未識別的資源或 Internet,直到他們首先通過基於瀏覽器的身份驗證標識自己。

  • 身份收集器 - 收集與身份及其關聯 IP 位址相關的資訊,並將其傳送至安全閘道以執行身份。

要啟用或關閉使用者感知,請執行以下操作:

選擇「」或「」選項 。

注意 - 當blade由雲端服務管理時,會顯示一個鎖圖標。您不能在打開和關閉狀態之間切換。如果您更改其他政策設定,則更改是臨時的。在閘道與雲端服務之間的下一次同步處理中,會覆寫本機所做的任何變更。

使用使用者感知設定精靈啟用和設定邊欄選項卡。您可以設定身份來源的基本詳細資訊。初始設定後,您可以在政策設定下選中Active Directory 查詢基於瀏覽器的身份驗證複選框,然後點選設定以設定更多進階設定。

要使用精靈設定使用者感知,請執行以下操作:

  1. 點擊設定 精靈 連結。

    將打開使用者感知精靈。

  2. 選擇一種或多種使用者識別關閉 Check Point 軟體blade,旨在將使用者與 IP 地址相關聯,以進行日誌記錄和控制目的。方法(有關方法的說明,請參閱上文),然後按兩下一步

對於活動目錄查詢:

如果您有現有的 Active Directory 伺服器,請點擊「 使用現有的 Active Directory 伺服器」。

要新增新的活動目錄網域:

  1. 選擇 活動目錄查詢 ,然後點擊 設定

    將打開「 活動目錄查詢 」 視窗。

  2. 選擇「 定義新的活動目錄 伺服器」。

  3. 進入:

    • 網域

    • IPv4 位址

    • IPv6 位址

    • 使用者名

    • 密碼

    • 使用者 DN-點擊探索以自動探索代表該使用者之物件的 DN,或手動輸入使用者 DN。

  4. 要從特定分支中選擇使用者群組,請選中「僅使用特定分支中的使用者群組」複選框 。

    點選新增 ,然後在AD分支區域中輸入分支路徑。

  5. 點擊套用.

您還可以在「 使用者 與 物件 > 身份驗證伺服器 」頁面中新增新的 AD 網域。

對於基於瀏覽器的身份驗證:

  1. 要在門戶不可用時阻止未經身份驗證的使用者訪問,請選擇在 強制網路門戶不適用時阻止未經身份驗證的使用者。

    此設定選項強制使用非 HTTP 流量的使用者首先通過基於瀏覽器的身份驗證登錄。

  2. 選擇是否將身份不明的使用者重指向到強制網路門戶 以獲取所有流量特定目的地

    在大多數情況下,不會使用所有流量,因為它不是無縫識別方法。

  3. 在「特定目標」下,選擇「 Internet 」或 「選定的網路物件」。。

    如果選擇選定的網路物件,請從清單中選擇物件或創建新物件。

  4. 點擊 完成.

要為基於瀏覽器的身份驗證編輯設定並設定門戶自定義,請執行以下操作:

  1. 政策設定下,選擇基於瀏覽器的身份驗證,然後點選設定

  2. 在「標識」選項卡中,如有必要,可以編輯精靈中設定的配置。

  3. 在「自定義 」選項卡中,選擇相關選項:

    • 使用者必須同意以下條件 - 您可以要求使用者同意規章條件。在文字框中,輸入向使用者顯示的條件。

    • 上傳 - 允許您上傳公司標籤。流覽 到標籤檔,然後點擊 套用。標籤顯示在 「顯示的標籤 」部分中。

    • 使用預設值 - 使用預設標籤。

  4. 在「 進階 」頁籤中:

    • 門戶位址 - 保留預設設定,即強制網路門戶在Quantum Spark 設備上運行的位址,或輸入其他門戶位址。

    • session超時 - 設定經過身份驗證的使用者在必須再次進行身份驗證之前可以訪問網路或 Internet 的時間。

    • 啟用未註冊的來賓登錄 - 允許在日誌中按名稱(而不僅僅是IP位址)標識未註冊的來賓使用者。

      未註冊使用者是非託管非 AD 使用者,通常是合作夥伴或承包商。要獲得存取權限,來賓輸入其公司名稱、電子郵件地址、電話號碼(可選)和姓名。

      設定訪客session超時。這是來賓使用者可以訪問網路資源的分鐘數。預設超時為180分鐘。

      記錄來賓訪問。來賓的名稱顯示在「日誌和監視」選項卡的「使用者」列中。其他詳細訊息顯示在完整日誌條目中。

      記錄來賓訪問。來賓的名稱顯示在「日誌和監視」選項卡的「使用者」列中。其他詳細訊息顯示在完整日誌條目中。

    • 如果使用者關閉門戶視窗 ,則強制快速快取超時 - 關閉門戶時,使用者將在 5 - 10 分鐘內註銷。

  5. 點擊套用.

要設定身份收集器,請執行以下操作:

  1. 在政策設定下 ,選擇身份收集器,然後按下, 設定

    將打開「 授權使用者端 」 視窗。

  2. 對於每個客戶端,輸入以下資訊:

    • IPv4 位址 - 使用者端的IP位址。

    • 密碼 - 密碼

      • 可選 - 點擊「顯示」 以顯示 密碼。

  3. 點擊套用.

選擇身份驗證方法後,點擊套用

有關身份收集器設定的詳細資訊,請參見 Identity Awareness Clients Administration Guide

注意 ─ 這個頁可從存取政策 > 使用者感知邊欄選項卡控制件使用者與物件 > 使用者感知中獲得。