ファイアウォール管理ガイド R75.40VS - Check Point

More documents

Recommendations

Info

ソース説明推奨用途導入の検討事項 AD Query Browser-Based Authentication Microsoft Active Directory(AD)からシームレスにアイデンティティ・データを取得 Captive Portal から未認識ユーザを認証するために Web ポータルへ送信 Transparent Kerberos Authentication を設定している場合、ユーザに Captive Portal のユーザ名 /パスワード入力ページが表示される前に、ブラウザでアイデンティティ情報を取得してユーザに透過的な認証が試行されます。アイデンティティ・ベースの監査とログ記録アイデンティティ情報をインターネット・アプリケーション・コントロールに利用内部ネットワークでの基本的アイデンティティの実施 Captive Portal AD ユーザ以外に対しアイデンティティ・ベースの実施 (Windows 以外のユーザとゲスト・ユーザ) Endpoint Identity Agents の導入 Transparent Kerberos Authentication AD 環境では、ユーザがすでにログインしている場合は最初のログイン(SSO) に使われた認証情報からアイデンティティ情報をブラウザで取得簡単な設定 (AD 管理者認証情報は必要 ) 管理者ユーザをサード・パーティ製デバイスのサービス・アカウントとして使用させたくない場合、AD Query を AD 管理者権限なしで設定可能。sk43874 (http://supportcontent.che ckpoint.com/solutions?id=s k43874)を参照。デスクトップ・ユーザ向け AD ユーザとマシンのみを検出アイデンティティの実施目的 (ログ記録目的ではない) Identity Agent SSO で安全に認証を行うライト版エンドポイント・エージェントアイデンティティをデータ・センター保護に利用非常に重要なサーバの保護向けアイデンティティ検知の正確性が重要な環境『R75.40VS Identity Awareness 管理ガイド (http://supportcontent.checkpo int.com/solutions?id=sk76540 )の「アイデンティティ・ソースの選択」の章を参照してください。 Terminal Servers Identity Agent 同じ IP アドレスから接続する複数ユーザを認識するため、 Terminal/Citrix サービスをホスティングするアプリケーション・サーバに Terminal Server Identity Agent がインストールされます。 Terminal Server/Citrix 環境を使うユーザの認識 Remote Access IPSec VPN オフィス・モードでアクセスするユーザをシームレスに認証 VPN で組織にアクセスするユーザにアイデンティティ・ベースで認識してセキュリティ・ポリシーを適用 26 | ファイアウォール 管理ガイド R75.40VS
アイデンティティを識別するゲートウェイは、取得するアイデンティティ情報をほかのアイデンティティ識別を行うゲートウェイと共有することができます。共有することで、何度もアイデンティティ認証が必要なユーザが実際に認証を行うのは最初の一度で済みます。詳細については、「高度な導入」を参照してください。 AD Query AD Query 簡単に導入できるクライアントレスのアイデンティティ取得メソッドです。これは Active Directory 統合に基づいていて、ユーザに完全に透過的な方法です。 AD Query のオプションは、以下の状況において操作します。識別されたアセット(ユーザ/マシン)が、認証を必要とする内部リソースにアクセスしようとしたとき。たとえば、ユーザがログインする、画面のロック解除を行う、ネットワーク・ドライブを共有する、Exchange でメールを確認する、内部ポータルにアクセスするといった場合です。 AD Query がアイデンティティ取得の方法として選択されているとき。この技術は、Active Directory Security Event ログにクエリを行い、そこからネットワーク・アドレスにマッピングを行うユーザおよびマシンを抽出する仕組みです。Microsoft プロトコルである WMI(Windows Management Instrumentation)に基づいています。Security GatewayはActive Directoryドメイン・コントローラと直接通信を行い、個別のサーバは必要ありません。クライアントまたは Active Directory サーバ上にインストールする必要はありません。 Identity Awareness では、Windows Server 2003 および 2008 の Microsoft Active Directory への接続がサポートされています。 AD Query の仕組み - ファイアウォール・ルール・ベースの例 1. セキュリティ・イベント・ログを受け取れるように Security Gateway を Active Directory ドメイン・コントローラに登録します。 2. ユーザが、Active Directory 認証情報を使ってデスクトップ・コンピュータにログインします。 3. Active Directory ドメイン・コントローラから、セキュリティ・イベント・ログが Security Gateway に送信されます。 Security Gateway で、ユーザおよび IP 情報を取り出します(ユーザ名 @ドメイン名、マシン名、発信元 IP アドレス)。 4. ユーザがインターネット接続を実行します。 5. Security Gateway でユーザが認識されていることを確認し、ポリシーに基づいてインターネットへのアクセスを許可します。 ファイアウォール 管理ガイド R75.40VS | 27
Page 1 and 2: ファイアウォール R75.40VS
Page 3 and 4: ドキュメントに関する
Page 5 and 6: 自動ルールと手動ルー
Page 7 and 8: 付録 ...........................
Page 9 and 10: Application Control と Identity Aw
Page 11 and 12: 項目 Install-On Time 説明ル
Page 13 and 14: たは[Destination]を「Any」と
Page 15 and 16: ポリシーはまた 2 つの基
Page 17 and 18: Hit Count 表示を設定す
Page 19 and 20: 7. [Interface Properties]ウィン
Page 21 and 22: ラジオを特定の周波
Page 23 and 24: 13. ルール・ベースにマル
Page 25: SmartDashboard からアクセス
Page 29 and 30: 2. Identity Awareness でユーザ
Page 31 and 32: 3. Security Gateway からユーザ
Page 33 and 34: ログでのユーザ識別 Smart
Page 35 and 36: 2. Captive Portal で、通常
Page 37 and 38: このログ・エントリは、
Page 39 and 40: 次のステップ Identity Agent
Page 41 and 42: 第 3 章ネットワーク・ア
Page 43 and 44: たとえば、10.1.1.2 から 10.1
Page 45 and 46: この原則の例外は、2
Page 47 and 48: 自動ルールの順序自
Page 49 and 50: Static NAT を定義すると、
Page 51 and 52: Alaska.Web Any Any Alaska.Web (Vali
Page 53 and 54: ネットワークの設定た
Page 55 and 56: オブジェクト·データベー
Page 57 and 58: SecuRemote/SecureClient から MEP(
Page 59 and 60: デフォルトの[Do not reuse IP
Page 61 and 62: 第 4 章 IPv6 この章の構
Page 63 and 64: Security Gateway での IPv6 の
Page 65 and 66: [Interface Properties]ウィンド
Page 67 and 68: ICMPv6 router- advertisement ICMPv6
Page 69 and 70: 4. [Other Service Properties]ウィ
Page 71 and 72: Any Any Any Traffic Any drop None
Page 73 and 74: 第 5 章 ISP の冗長性こ
Page 75 and 76: Security Gateway の DNS への設
Page 77 and 78:
ISP リンク・ステートの強
Page 79 and 80:
メール・セキュリティの
Page 81 and 82:
2. [Spam]、[Suspected Spam]また
Page 83 and 84:
2. [Anti-Spam]オプションを
Page 85 and 86:
詳細については、「連
Page 87 and 88:
アンチウイルスアンチス
Page 89 and 90:
第 8 章 ConnectControl - サー
Page 91 and 92:
HTTP リダイレクト・メカニ
Page 93 and 94:
永続サーバのタイムアウ
Page 95 and 96:
第 9 章 CoreXL 管理この章
Page 97 and 98:
すべてのインタフェース
Page 99 and 100:
たとえば、「eth0」と「eth1
Page 101 and 102:
データ値説明デーモン
Page 103 and 104:
パラメータ説明 -k カー
Page 105 and 106:
1. コンピュータが起動
Page 107 and 108:
6. SmartConsole クライアント
Page 109 and 110:
fwboot bootconf 「fwboot bootconf
Page 111 and 112:
付録 B 付録このセクシ
Page 113 and 114:
c) ポート 1645 サービス上
Page 115 and 116:
2. SmartDashboard でゲートウ
Page 117 and 118:
3. ユーザが正常に認証
Page 119 and 120:
4. 以下のいずれかのオプ
Page 121 and 122:
tower 3% telnet london 259 Trying 1
Page 123 and 124:
1. [Authentication]ページで、S
Page 125 and 126:
5. [Yes]をクリックします。
Page 127 and 128:
付録 C 付録この付録
Page 129:
ファイアウォール管理
show all

ファイアウォール 管理ガイド R75.40VS - Check Point

You also want an ePaper? Increase the reach of your titles

Delete template?

Save as template?

ファイアウォール管理ガイド R75.40VS - Check Point