User-ID:将用户和组与您的安全策略捆绑

User-ID 将 Palo Alto Networks 新一代防火墙与众多用户存储库和终端服务环境无缝集成。根据您的网络环境,可以采用多种方式将用户 ID 映射至 IP 地址。包括:

  • 身份验证事件
  • 用户身份验证
  • 终端服务监视
  • 客户端探测
  • 终端服务集成
  • 系统日志侦听器和强大的 XML API

与应用程序活动捆绑的用户 ID 为您提供关于使用模式的更完整的可视性,更好的策略控制,以及更细致的日志记录、报告和取证功能。

 

file

身份验证事件帮助您识别用户

您可以为 Microsoft Active Directory、Microsoft Exchange 和 Novell eDirectory 环境配置 User-ID 以监视身份验证事件。这一点很重要,原因在于通过监视网络上的身份验证事件,User-ID 可将用户与用于登录的 IP 地址匹配,从而让您能够在防火墙上实施策略。

  • Microsoft Exchange Server:您可以配置 User-ID 连续监视由于客户端访问其电子邮件造成的 Microsoft Exchange 登录活动。利用该技术,您甚至可以发现和识别没有直接对 Microsoft Active Directory 完成身份验证的 MAC OS X、Apple iOS 和 Linux/UNIX 客户端系统。

  • Novell eDirectory:User-ID 可以通过 Novell eDirectory 服务器上的标准 LDAP 查询来查询和监视登录信息,以识别用户和组成员资格。

  • Microsoft Active Directory:User-ID 持续监视域控制器事件日志以在用户登录域时识别用户。当用户登录 Windows 域时,在对应 Windows 域控制器中记录新的身份验证事件。通过远程监控 Windows 域控制器上的身份验证事件,User-ID 可以识别这些身份验证事件以识别网络上的用户。拥有这些信息后,您可以创建和实施自己的策略。

目录集成捕获组成员资格信息

为了让您能够基于用户组指定安全规则和自动解析组成员,User-ID 使用基于标准的 LDAP 协议和灵活配置,几乎集成了所有目录服务器,包括 Microsoft Active Directory 。在您配置 User-ID 后,Palo Alto Networks 防火墙自动检索和持续更新用户与用户组信息,根据用户群或组织的变化自动调整。

用户身份验证事件捕获非 Windows 域用户

通过用户身份事件捕获非 Windows 域用户,您可以配置挑战应答身份验证序列以收集用户和 IP 地址信息。

  • 附带门户:如果您的管理员需要建立规则以确保用户在访问 Internet 前对防火墙完成身份验证,或者您无法通过其他技术识别用户,您可以部署附带门户。除了需要提示用户名和密码提示外,您还可以将附带门户配置为向 Web 浏览器发送 NTLM 身份验证请求,从而使身份验证过程对用户完全透明。

  • GlobalProtect:远程用户登录到您部署了 GlobalProtect 的网络时,必须向防火墙提供用户和主机信息。您可以使用这些信息进行策略控制。

终端服务集成

在 Citrix XenApp 或 Microsoft Terminal Services 隐藏了用户身份时,我们的 User-ID 终端服务代理可以确定用户访问的应用程序。我们还可以识别那些在 Microsoft Windows Terminal Services 或 Citrix 上共享 IP 地址的用户。对用户完全透明,我们为每个用户会话分配服务器上的一个特定端口范围。这样防火墙就能够将网络连接与共享网络上某主机的用户和组关联起来。对于自定义或非标准终端服务环境,可以使用 XML API 收集用户 ID。

客户端和主机探测捕获 Windows 用户信息

下面两种技术让您能够配置 User-ID 来监视 Windows 客户端或主机,收集 ID 并映射至 IP 地址。

  • 客户端探测:如果您无法通过监视身份验证事件识别用户,User-ID 主动探测网络上的 Microsoft Windows 客户端以获取当前登录用户的信息。您可以通过此方式可靠地识别在有线和无线网络之间来回切换的笔记本电脑用户。

  • 主机探测:您还可以配置 User-ID 来探测 Microsoft Windows 服务器上的用户当前网络会话。只要用户访问您服务器上共享的网络,User-ID 就能识别起源 IP 地址,并将其映射至他们提供的用于开始会话的用户名。

系统日志侦听器和 XML API 集成非标准存储库

在某些情况下,您可能已经具有用于存储用户及其当前 IP 地址信息的用户存储库或应用程序。在这种情况下,防火墙现在可以从这些服务监听系统日志消息,以便 User-ID 代理(无论是 Windows 代理还是防火墙上的无代理用户映射功能)可以从日志提取身份验证事件。您定义的系统日志过滤器让 User-ID 能够解析消息并且提取成功对外部服务完成身份验证的用户的 IP 地址和用户名,然后将该信息添加至其维护的用户名映射的 IP 地址。当前系统日志侦听器在本机支持 BlueCoat Proxy、Citrix Access Gateway、Aerohive AP、Cisco ASA、Juniper SA Net Connect 和 Juniper Infranet Controller。

  • XML API:如果系统日志侦听器不适用,可利用 User-ID 的 XML API,将用户目录、终端服务和身份验证机制的用户信息集成您的安全策略。

 

资源

详细了解 User-ID
阅读有关 User-ID 如何与企业目录或终端服务无缝集成,与只依赖端口和 IP 地址相比更有效地保护您网络。

详细了解用户可视性
了解用户可视性的优势,了解您可以如何快速分析应用程序的角色和风险以及谁在使用它们,然后将这些信息转变为安全应用程序启用策略。

聊天
有问题吗?
与我们沟通寻求答案。
立即聊天