Help us improve your experience.

Let us know what you think.

Do you have time for a two-minute survey?

 
本页内容
 

JIMS 的工作原理

总结 阅读此部分,了解 JIMS 工作流程、架构和功能。

JIMS 工作流程

瞻博网络身份管理服务 (JIMS) 使您能够根据用户身份信息(如用户名和用户组)以及 IP 地址,对 SRX 系列设备(包括瞻博网络® vSRX 虚拟防火墙)应用策略。该服务会根据组成员资格将 IP 地址映射到用户和设备,并将此映射信息提供给 SRX 系列设备。(SRX 系列设备的用户组也称为用户角色。)SRX 系列设备使用映射信息为其身份验证表生成条目,您可以使用这些条目基于组成员身份实施基于用户/设备的安全策略控制。

为了支持身份感知型防火墙策略,JIMS 执行以下步骤:

  1. 与 Microsoft Active Directory 通信以检索用户名到组的映射信息,并使用这些信息标识每个用户所属的组。

  2. 与 Active Directory 域中的 Microsoft 域控制器或 Microsoft Exchange 服务器通信,以收集事件日志信息,其中包含 IP 地址到用户名的映射信息。该服务使用映射信息来确定 Active Directory 和 Exchange 服务器中用户的 IP 地址。

  3. 将 IP 地址、用户名和组关系信息存储在其缓存中。然后,该服务使用存储的信息生成报告,并将其提供给实施点(SRX 系列设备)。

  4. 生成身份验证条目,用于实施在 SRX 系列防火墙规则库中应用的设备和基于用户或基于组的访问控制。

图 1:JIMS 架构

JIMS 收集器使用 Active Directory 监控用户、设备和组成员资格的状态更改,并收集这些信息。在每个数据收集实例之后,收集器会自动将此数据发送至 JIMS 服务器。更新实施点需要这些数据。

JIMS 收集器将请执行以下操作:

  • 它可以连接到:

    • 使用轻量级目录访问协议 (LDAP) (TCP 端口 389) 或安全套接字层 (LDAPS) (TCP 端口 636)的目录服务(Microsoft Active Directory)。

    • 使用 Microsoft 远程过程调用 (RPC) (TCP 端口 135 和动态端口 49152 到 65535) 的身份提供商(Microsoft 域控制器或 Exchange 服务器)。

      注意:

      Microsoft Exchange 服务器也称为 DC Exchange。

    • 使用内部通信的身份提供商(ClearPass Policy Manager 或 CPPM、动态主机配置协议或 DHCP 和系统日志服务器)。系统日志服务器侦听 TCP 和 UDP 端口 514 以接收系统日志消息。

    • 使用内部通信的身份提供商(PC 探测)。PC 探测使用 TCP 端口 135 和动态端口 49152 到 65535 向设备发送出站 Windows 管理工具 (WMI) 请求。

  • 通过 TCP 端口 443 使用传输层安全 (TLS) 将数据发送至 JIMS 服务器。(TCP 端口可配置。)

实施点(SRX 系列设备)使用 TCP 端口 443 和 591 上的 TLS(默认端口)向 JIMS 服务器发送查询。

JIMS 架构

JIMS 服务类型

JIMS 由两项服务组成:

  • 收集器 — 将用户和设备映射到 IP 地址。

  • 服务器 — 为实施点提供映射信息。

目前,这两项服务与单个应用程序在同一服务器上运行。

JIMS 服务器

JIMS 服务器可为您的所有实施点(SRX 系列防火墙)提供大规模身份数据,而不会对目录服务造成不必要的 CPU 周期。服务器在 JIMS 报告中提供身份信息,包括用户、设备、IP 地址和组映射信息。每个 SRX 系列设备都会使用这些信息来制定用户防火墙功能中的策略决策。

JIMS 收集器

JIMS 收集器会与您的 Active Directory 通信,以收集用户、设备和组成员身份信息。收集器还会将每个活动用户和设备映射到一个 IP 地址。

收集器还可以连接到系统日志服务器,并处理来自不同相关系统的传入数据,例如网络访问控制 (NAC)、动态主机配置协议 (DHCP)、VPN 网关或强制门户,以记录登录和退出事件。

身份数据收集

JIMS 具有可扩展性,可以接管从 Microsoft Active Directory、控制器、Microsoft Exchange 服务器和系统日志服务器收集的用户身份数据。JIMS 可作为 SRX 系列设备的单一集中式数据收集源。

该服务会生成报告,其中包含服务从用户身份数据源收集的 IP 地址、用户名、设备和组关系信息。

JIMS 使用以下目录服务和身份创建者收集身份数据。

  • 目录服务 — 从 Microsoft Active Directory 收集数据

    JIMS 与每个 Active Directory 通信,以收集用户和设备的组信息。该服务会查询每个配置的 Active Directory,了解用户和设备信息。每次收到用户的登录事件时,它都会查询相应的用户信息源。

  • 身份创建者 — 从事件日志源收集数据

    JIMS 连接到事件日志源以收集用户和设备状态事件,并为 SRX 系列设备提供 IP 地址到用户名的映射信息。对于用户登录事件,JIMS 会收集域名、用户名和 IP 地址。对于设备登录事件,JIMS 会收集域名、机器名称和 IP 地址。

    事件日志源可以是一个或多个 Active Directory 域控制器,也可以是一个或多个 Exchange 服务器。JIMS 为您提供了配置事件日志源的选项,该源可以是 Active Directory 域控制器和 Exchange 服务器的组合。

  • 身份创建者 — 从 Syslog 源收集数据

    JIMS 允许系统日志客户端从事件源(如 DHCP 服务器)发送事件数据,如用户和设备信息。您必须定义 JIMS 服务器允许连接的远程系统日志客户端的 IP 地址和端口。您必须将 JIMS 服务器配置为在检测到注销事件、登录事件或数据值更改时收集系统日志数据。JIMS 收集器从系统日志消息中提取设备、用户名和 IP 地址信息,并将此信息映射到组成员资格。然后,收集器将映射信息转换为 JIMS 报告。

  • 身份创建者 — 使用域 PC 探测收集数据

    PC 探针

    要对客户域中的设备启动域 PC 探测,JIMS 需要管理凭据才能访问该设备。对于对新 IP 地址的 PC 探测,JIMS 使用每组配置的凭据,其顺序与它们在列表中出现的顺序一致。

    域 PC 探测是对事件日志读取的补充。用户登录到域后,事件日志包含 JIMS 需要的所有信息。如果事件日志中无法提供 IP 地址到用户名的映射信息,JIMS 会对设备发起域 PC 探测,以获取当前活动用户的用户名和域。您还可以使用域 PC 探测来确定设备已登录状态过期后的状态。使用 PC 探测器时,应确保防火墙通过阻止来自 JIMS 服务器的出站 Windows 管理仪器 (WMI) 数据包,阻止传出到互联网的 PC 探测请求和潜在的欺骗 IP 地址。

实施点

如果之前的批查询无法检索 IP 地址到用户名的映射信息,实施点(SRX 系列防火墙)会再次发送批查询(报告)或 IP 查询,以便从 JIMS 服务器提取有关用户、设备和组成员身份的信息。当 JIMS 服务器没有端点查询的 IP 地址时,服务器会请求 JIMS 收集器获取此数据。JIMS 收集器查询相应记录的域控制器和交换服务器。如果此类记录不存在,JIMS 会对该 IP 地址执行 PC 探测。只能在 Microsoft Windows 上运行 PC 探测器。