Знаете ли вы, что такое Cisco Identity Firewall?

Alexey Lukatsky (Алексей Лукацкий)

Так исторически сложилось, что межсетевые экраны, выросши из пакетных фильтров, разграничивали доступ по IP-адресам. Политики содержали множество правил контроля доступа, похожих на это «С IP-адреса 192.168.0.154 запрещен доступ по протоколу HTTP к узлу с IP-адресом 217.20.144.2 во временном интервале от 9.00 до 19.00» (адрес 217.20.144.2 принадлежит сайту «Одноклассники.ру»). По мере распространения системы доменных имен вместо IP-адресов стали использовать адреса типа «odnoklassniki.ru», что облегчило задачу создания политик разграничения доступа на межсетевых экранах.

Однако нерешенной оставалась задача фильтрации в сетях, в которых сотрудники могли работать за компьютерами с динамической системой адресации. Сегодня у меня адрес 192.168.0.154, завтра 192.168.0.15, а через месяц и вовсе 10.0.0.65. Как создавать правила в таких условиях и поддерживать их в актуальном состоянии? Как «привязать» отчеты с указанными IP-адресами к конкретным пользователям? Как вообще решить задачу разграничения доступа, если сотрудник подключается к защищаемым или контролируемым ресурсам извне компании, с чужого компьютера из Интернет-кафе? Не пускать его, заблокировав ему доступ на межсетевом экране? Сегодня такой рецепт уже не применим. Применять прокси тоже не самый лучший вариант, т.к. он может потребовать изменения топологии сети и новых настроек аутентификации пользователей. Да и пользователи могут быть недовольны, если при каждом их обращении к сети Интернет они должны будут вводить свое имя и пароль.

Решением является использование так называемой функции Identity Firewall, которая при описании политик доступа использует не IP и даже не DNS-адреса, а учетные записи пользователей; например, взятых из Active Directory. В Cisco ASA, начиная с версии 8.4.2, появилась функциональность Identity Firewall, которая позволяет использовать при создании правил разграничения доступа имена пользователей или групп пользователей из Active Directory. При этом в отчетах о пропущенном или заблокированном на Cisco ASA трафике будут показаны именно имена пользователей, а не IP-адреса их компьютеров. Это существенно облегчает контроль действий сотрудников в Интернет и понимание производимых ими манипуляций. Кроме этого, Identity Firewall позволяет «отвязать» знание топологии сети от политик безопасности, в описании которых теперь можно не использовать IP-адреса и другие низкоуровневые именования объектов защиты.

Более подробно о функции Identity Firewall в Cisco ASA и о способах ее настройки можно узнать на сайте Cisco.

Реклама

Детали Cisco Russia&CIS
Cisco (NASDAQ: CSCO) мировой лидер в области сетевых технологий, которые меняют способы связи, взаимодействия и совместной работы людей. Более подробную информацию смотрите на нашем сайте: http://www.cisco.ru/. Чтобы узнать последние новости компании – перейдите по ссылке: http://www.cisco.com/web/RU/news/releases/index.html Cisco в социальных сетях: http://www.cisco.com/web/RU/socialmedia/index.html

Добавить комментарий

Заполните поля или щелкните по значку, чтобы оставить свой комментарий:

Логотип WordPress.com

Для комментария используется ваша учётная запись WordPress.com. Выход / Изменить )

Фотография Twitter

Для комментария используется ваша учётная запись Twitter. Выход / Изменить )

Фотография Facebook

Для комментария используется ваша учётная запись Facebook. Выход / Изменить )

Google+ photo

Для комментария используется ваша учётная запись Google+. Выход / Изменить )

Connecting to %s