跳轉到

Identity Awareness

傳統規則綁 IP,但人會換位子、換裝置、用 DHCP。Identity Awareness 讓你用「使用者 / 群組 / 電腦」來寫規則 —— 規則跟著人走,不再追著 IP 跑。

它怎麼知道「這個 IP 是誰」

Identity Awareness 透過多種身分來源(Identity Source)把「使用者 / 電腦 ↔ IP」對應起來:

來源 需不需 Agent 原理 重點
AD Query (ADQ) 否(Clientless) 用 WMI 讀網域控制器的安全事件記錄,抽出登入事件 設定最簡單、對使用者透明;但會對 DC 造成負載
Identity Collector (IDC) 裝在伺服器(非端點) 獨立程式代替 Gateway 去抓 AD DC / Cisco ISE 的身分 比 ADQ 省 Gateway 與 DC 資源、唯讀權限;一個 IDC 最多接 35 台 AD
Browser-Based / Captive Portal 瀏覽器導向登入頁,或 Kerberos 透明認證 適合訪客 / 沒裝 agent 的裝置
Identity Agent 端點 裝在使用者電腦回報身分 信任度最高,可做 packet tagging
Terminal Server Agent (TSA) 應用伺服器 區分同一台 Terminal Server / Citrix 上的多個使用者 解決多人共用同一 IP
RADIUS Accounting Gateway 直接收 RADIUS accounting 身分 網路設備認證場景

怎麼選?

最常見的起點是 AD Query(零部署、看 AD 登入事件)。要更省資源、更穩、不增加 DC 負擔 → 換 Identity Collector。要最高信任度(例如做 packet tagging)→ Identity Agent。訪客 → Captive Portal

架構:PDP 與 PEP

身分在 Gateway 之間是這樣流動的:

graph LR
    SRC[身分來源<br/>AD / IDC / Portal] --> PDP[PDP<br/>Policy Decision Point<br/>取得+決策身分]
    PDP -->|分享身分| PEP[PEP<br/>Policy Enforcement Point<br/>執行規則]
  • PDP(Policy Decision Point):負責「取得身分、做決策、把身分分享出去」。
  • PEP(Policy Enforcement Point):負責「執行強制」(套用規則、必要時導向 Captive Portal),可同時接多個 PDP。
  • 身分分享通訊埠:身分 PDP→PEP 走 TCP 15105;網路資訊 PEP→PDP 走 TCP 28581

Identity Conciliation(身分調和)

同一 IP 收到多個來源、互相衝突的身分時,PDP 依 Confidence(來源信任度,如 VPN client 高於 Captive Portal)、Locality、TTL 等規則處理(動作:Override / Reject / Append),決定採信哪一個。

Access Role:規則裡的「人」

啟用 Identity Awareness Blade 後,就能建立 Access Role 物件,放進 Access Control 規則的 Source / Destination。一個 Access Role 可包含:

  • Networks(特定網路)
  • Users / 群組(All identified users 或指定 AD 群組)
  • Machines(指定電腦 / 群組)
  • Remote Access Clients
範例規則:
  Source: AccessRole_業務部(AD: Sales 群組)
  Destination: CRM_Server
  Action: Accept
  → 只有 Sales 群組的人能連 CRM,不管他在哪個 IP

排錯指令

# 看目前的「使用者/電腦 ↔ IP」對映(PDP 端)
pdp monitor all

# 看 PEP 收到的使用者
pep show user all

# 看身分來源狀態
pdp status

PDP/PEP 程序別亂重啟

pdp / pep 相關程序重啟會中斷身分識別、影響線上使用者規則比對。正式環境操作前先確認影響。

小結

  • Identity Awareness 讓規則用「人 / 群組 / 電腦」而非 IP。
  • 身分來源多種:ADQ(簡單)、Identity Collector(省資源)、Captive Portal(訪客)、Identity Agent(最高信任)。
  • 架構 PDP(決策+分享)↔ PEP(執行),分享埠 15105 / 28581。
  • Access Role 物件把身分放進規則;排錯用 pdp monitor all / pep show user all