10、Check Point NGX 认证机制全解析

Check Point NGX 认证机制全解析

认证概述

在网络安全管理中，使用 Check Point NGX 能够对进出网络的流量进行有效控制。通过对网络、主机、网关和服务的精准定义，我们可以实现对安全网关流量的精细管控。然而，在某些特定场景下，我们需要对访问资源的特定用户进行认证。

例如，管理员可能需要使用受限用户的工作站下载特权文件，这就需要在特定时间段内授予其特殊权限；使用 DHCP 且存在不同用户类别的网络，需要对特权用户进行认证，以确保他们能够访问所需资源；企业可能需要在日志中记录访问特定网站的具体用户信息。

认证功能极大地扩展了 Check Point NGX 的特性，它能在用户层面实现安全防护，与原本强大的安全功能相得益彰。一旦了解了 NGX 认证的工作原理，你会发现它在实际环境中有诸多用途。

NGX 依据自身掌握的信息来决定是否允许连接。防火墙本身并不清楚哪个用户登录了 Microsoft Active Directory，也无法知晓用户是否在不同机器间切换。为了对穿越防火墙的特定用户进行认证，就需要额外的信息来匹配用户和连接。

Check Point NGX 具有很强的灵活性，能够对来自各种源、数据库或外部目录服务器的用户进行认证。它支持三种认证类型：用户认证、会话认证和客户端认证，这些认证方案主要用于非加密认证。

在实际环境中，以下几种情况适合使用认证功能：
- 网络使用 DHCP 且未进行 IP 预留，但需要为部分用户提供特殊资源访问权限。
- 首席信息官（CIO）要求严格记录用户的流量习惯，因此日志需要包含内部网络每个连接的用户名。
- 技术支持人员需要从互联网下