身份策略概述
您可以使用身份策略检测与连接关联的用户。通过识别用户身份,可以将威胁、终端和网络智能与用户身份信息关联。通过将网络行为、流量和事件直接与单个用户相关联,系统可帮助您确定策略违规、攻击或网络漏洞的来源。
例如,可以确定入侵事件所攻击的主机的所有人是谁,并确定是谁发起了内部攻击或端口扫描。此外,还可以确定高带宽用户,以及正在访问不良网站或应用的用户。
用户检测不仅仅是收集数据进行分析,您也可以基于用户名或用户组名编写访问规则,根据用户身份选择性允许或阻止到资源的访问。
可以使用以下方法获取用户身份:
-
被动身份验证 - 对所有类型的连接,从其他身份验证服务获取用户身份而不提示输入用户名和密码。
-
主动身份验证 - 提示输入用户名和密码,并根据指定身份源进行身份验证,获取源 IP 地址的用户身份(仅限于 HTTP 连接)。
以下主题提供了有关用户身份的详细信息。
通过被动身份验证确定用户身份
被动身份验证在收集用户身份信息时不提示用户输入用户名和密码。系统会从您指定的身份源获取映射。
您可以从以下源被动获取用户到 IP 地址的映射:
-
远程接入 VPN 登录。被动身份支持以下用户类型:
-
在外部验证服务器中定义的用户账户。
-
在 Firepower 设备管理器中定义的本地用户账户。
-
-
思科身份服务引擎 (ISE);思科身份服务引擎被动身份连接器 (ISE-PIC)。
如果给定用户是通过多个源所识别,则 RA VPN 身份占优先地位。
通过主动身份验证确定用户身份
身份验证是确认用户身份的行为。
如果 HTTP 流量来自系统没有其用户身份映射的 IP 地址,通过主动身份验证,您可以决定是否针对为系统配置的目录对发起该流量的用户进行身份验证。如果身份验证成功,该 IP 地址则被视为具有该通过身份验证的用户的身份。
如身份验证不成功,用户对网络的访问并不会受阻。为这些用户提供哪些访问权限最终由访问规则决定。
处理未知用户
当您为身份策略配置目录服务器后,系统会从目录服务器下载用户和组成员信息。此信息每 24 小时在午夜刷新一次,或在每次您编辑和保存目录配置时刷新(即使您未进行任何更改)。
如果某用户在活动身份验证身份规则提示时成功进行了身份验证,但该用户的名称不在下载的用户身份信息中,则该用户会被标记为“未知”。您不会在与身份相关的控制面板中看到该用户的 ID,该用户也不会匹配组规则。
但是,系统将应用面向未知用户的任何访问控制规则。例如,如果您阻止未知用户的连接,那么即使这些用户成功进行了身份验证(即目录服务器可识别用户并且密码有效),他们也会被阻止。
因此,当您对目录服务器进行更改(例如添加或删除用户,或更改组成员身份)时,直到系统从目录下载更新之后这些更改才会反映在策略实施中。
如果您不希望每天都等到午夜进行更新,可以通过编辑目录领域信息(依次选择保存,然后部署更改。系统随即会下载更新。
,然后编辑领域)强制进行更新。点击注 |
您可以依次转至添加规则 (+) 按钮,并在用户选项卡上查看用户列表,从而检查系统上是否有新的或已删除的用户信息。如果找不到新用户,或者还是可以找到已删除的用户,则系统的信息未更新。 ,点击 |