Блог Cisco в России и СНГ
Share

Знаете ли вы, что такое Cisco Identity Firewall?


June 29, 2011


Alexey Lukatsky (Алексей Лукацкий)

Так исторически сложилось, что межсетевые экраны, выросши из пакетных фильтров, разграничивали доступ по IP-адресам. Политики содержали множество правил контроля доступа, похожих на это «С IP-адреса 192.168.0.154 запрещен доступ по протоколу HTTP к узлу с IP-адресом 217.20.144.2 во временном интервале от 9.00 до 19.00» (адрес 217.20.144.2 принадлежит сайту «Одноклассники.ру»). По мере распространения системы доменных имен вместо IP-адресов стали использовать адреса типа «odnoklassniki.ru», что облегчило задачу создания политик разграничения доступа на межсетевых экранах.

Однако нерешенной оставалась задача фильтрации в сетях, в которых сотрудники могли работать за компьютерами с динамической системой адресации. Сегодня у меня адрес 192.168.0.154, завтра 192.168.0.15, а через месяц и вовсе 10.0.0.65. Как создавать правила в таких условиях и поддерживать их в актуальном состоянии? Как «привязать» отчеты с указанными IP-адресами к конкретным пользователям? Как вообще решить задачу разграничения доступа, если сотрудник подключается к защищаемым или контролируемым ресурсам извне компании, с чужого компьютера из Интернет-кафе? Не пускать его, заблокировав ему доступ на межсетевом экране? Сегодня такой рецепт уже не применим. Применять прокси тоже не самый лучший вариант, т.к. он может потребовать изменения топологии сети и новых настроек аутентификации пользователей. Да и пользователи могут быть недовольны, если при каждом их обращении к сети Интернет они должны будут вводить свое имя и пароль.

Решением является использование так называемой функции Identity Firewall, которая при описании политик доступа использует не IP и даже не DNS-адреса, а учетные записи пользователей; например, взятых из Active Directory. В Cisco ASA, начиная с версии 8.4.2, появилась функциональность Identity Firewall, которая позволяет использовать при создании правил разграничения доступа имена пользователей или групп пользователей из Active Directory. При этом в отчетах о пропущенном или заблокированном на Cisco ASA трафике будут показаны именно имена пользователей, а не IP-адреса их компьютеров. Это существенно облегчает контроль действий сотрудников в Интернет и понимание производимых ими манипуляций. Кроме этого, Identity Firewall позволяет «отвязать» знание топологии сети от политик безопасности, в описании которых теперь можно не использовать IP-адреса и другие низкоуровневые именования объектов защиты.

Более подробно о функции Identity Firewall в Cisco ASA и о способах ее настройки можно узнать на сайте Cisco.

Оставить комментарий