JIMS 架构、工作流程和功能
总结 阅读本节,了解 JIMS 工作流程、架构和功能。
JIMS 工作流程
借助瞻博网络身份管理服务 (JIMS),您可以根据用户身份信息(例如用户名和用户组以及 IP 地址)在 SRX 系列防火墙(包括瞻博网络® vSRX 虚拟防火墙虚拟防火墙)上应用策略。该服务根据组成员身份将 IP 地址映射到用户和设备,并将此映射信息提供给 SRX 系列防火墙。(SRX 系列防火墙的用户组也称为用户角色。SRX 系列防火墙使用映射信息为其身份验证表生成条目,您可以使用这些条目根据组成员身份实施基于用户/设备的安全策略控制。
为了支持身份感知防火墙策略,JIMS 执行以下步骤:
-
与 Microsoft Active Directory 通信以检索用户名到组的映射信息,并使用此信息标识每个用户所属的组。
-
与 Active Directory 域中的 Microsoft 域控制器或 Microsoft Exchange 服务器通信,以收集事件日志信息,其中包含 IP 地址到用户名的映射信息。该服务使用映射信息来确定 Active Directory 和 Exchange 服务器中用户的 IP 地址。
-
将 IP 地址、用户名和组关系信息存储在其缓存中。然后,该服务使用存储的信息生成报告,并将其提供给实施点(SRX 系列防火墙)。
-
生成身份验证条目,用于强制执行在 SRX 系列防火墙的规则库中应用的基于设备和用户或基于组的访问控制。
图 1:JIMS 架构
JIMS 收集器使用 Active Directory 监视用户、设备和组成员身份的状态更改并收集此信息。在每次数据收集实例之后,收集器会自动将此数据发送到 JIMS 服务器。更新实施点需要此数据。
JIMS 收集器执行以下操作:
-
它连接到:
-
目录服务 (Microsoft Active Directory) 通过(TCP 端口 389)或通过安全套接字层 (LDAPS) 上的 LDAP(TCP 端口 636)。
-
身份提供程序(Microsoft 域控制器或 Exchange Server)使用 Microsoft 远程过程调用 (RPC)(TCP 端口 135 和动态端口 49152 到 65535)。
注意:Microsoft Exchange Server 也称为 Exchange Server。
-
使用内部通信的身份提供程序(ClearPass 策略管理器或 CPPM、动态主机配置协议或 DHCP 和系统日志服务器)。系统日志服务器侦听传入系统日志消息的 TCP 和 UDP 端口 514。
-
使用内部通信的身份提供程序(PC 探测)。电脑探测使用 TCP 端口 135 和动态端口 49152 到 65535 将出站 Windows 管理规范 (WMI) 请求发送到设备。
-
-
通过 TCP 端口 443 使用传输层安全性 (TLS) 将数据发送到 JIMS 服务器。(TCP 端口可配置。
实施点(SRX 系列防火墙)通过 TCP 端口 443 和 591(默认端口)使用 TLS 将查询发送到 JIMS 服务器。
吉姆斯架构
JIMS 服务类型
JIMS 由两项服务组成:
-
收集器 - 将用户和设备映射到 IP 地址。
-
服务器 - 为实施点提供映射信息。
目前,这两个服务作为单个应用程序在同一台服务器上运行。
JIMS 服务器
JIMS 服务器为您的所有实施点(SRX 系列防火墙)提供大规模身份数据,而不会在目录服务上消耗不必要的 CPU 周期。服务器在 JIMS 报告中提供身份信息,其中包括用户、设备、IP 地址和组映射信息。每个 SRX 系列防火墙都使用此信息在用户防火墙功能中做出策略决策。
吉姆斯收藏家
JIMS 收集器与您的 Active Directory 通信以收集用户、设备和组成员身份信息。收集器还将每个活动用户和设备映射到一个 IP 地址。
收集器还可以连接到系统日志服务器,并处理来自不同相关系统的传入数据,例如网络访问控制 (NAC)、动态主机配置协议 (DHCP)、VPN 网关或强制门户,以记录登录和注销事件。
身份数据收集
JIMS 是可扩展的,可以接管来自 Microsoft Active Directory、域控制器、Microsoft Exchange 服务器和系统日志服务器的用户身份数据收集。JIMS 是 SRX 系列防火墙的单一集中式数据收集源。
该服务生成的报告包含该服务从用户标识数据源收集的 IP 地址、用户名、设备和组关系信息。
JIMS 使用以下目录服务和身份生成器来收集身份数据。
-
目录服务 — 从 Microsoft Active Directory 收集数据
JIMS 与每个 Active Directory 通信,以收集用户和设备的组信息。该服务会查询每个已配置的活动目录以获取用户和设备信息。每次收到用户的登录事件时,它都会查询相应的用户信息源。
-
身份生成者 - 从事件日志源收集数据
JIMS 连接到事件日志源以收集用户和设备状态事件,并向 SRX 系列防火墙提供 IP 地址到用户名的映射信息。对于用户登录事件,JIMS 收集域名、用户名和 IP 地址。对于设备登录事件,JIMS 会收集域名、计算机名称和 IP 地址。
事件日志源可以是一个或多个 Active Directory 域控制器,也可以是一个或多个 Exchange 服务器。JIMS 为您提供了配置事件日志源的选项,这些事件日志源可以是 Active Directory 域控制器和 Exchange 服务器的组合。
-
身份生成者 — 从系统日志源收集数据
JIMS 允许系统日志客户端从事件源(如 DHCP 服务器)发送事件数据,例如用户和设备信息。您必须定义 JIMS 服务器允许连接的远程系统日志客户端的 IP 地址和端口。您必须将 JIMS 服务器配置为在检测到注销事件、登录事件或数据值更改时收集系统日志数据。JIMS 收集器从系统日志消息中提取设备、用户名和 IP 地址信息,并将此信息映射到组成员资格。然后,收集器将映射信息转换为 JIMS 报告。
-
身份生成者 — 使用域 PC 探测收集数据
电脑探头
要启动客户域中设备的域 PC 探测,JIMS 需要管理凭据才能访问该设备。对于新 IP 地址的 PC 探测,JIMS 按照每组已配置凭据在列表中出现的顺序使用它们。
域 PC 探测充当事件日志读取的补充。当用户登录到域时,事件日志包含 JIMS 所需的所有信息。当事件日志中没有 IP 地址到用户名的映射信息时,JIMS 将启动对设备的域 PC 探测,以获取当前活动用户的用户名和域。还可以使用域电脑探测来确定设备在登录状态过期后的状态。使用 PC 探测时,应通过阻止来自 JIMS 服务器的出站 Windows 管理规范 (WMI) 数据包,确保防火墙阻止对 Internet 的传出 PC 探测请求和潜在的欺骗 IP 地址。
实施点
当之前的批处理查询无法检索 IP 地址到用户名的映射信息时,实施点(SRX 系列防火墙)会再次发送批处理查询(报告)或 IP 查询,以从 JIMS 服务器提取有关用户、设备和组成员身份的信息。当 JIMS 服务器没有端点查询的 IP 地址时,服务器将请求 JIMS 收集器获取此数据。JIMS 收集器在域控制器和 Exchange 服务器中查询相应的记录。当此类记录不存在时,JIMS 会对 IP 地址执行 PC 探测。您只能在Microsoft Windows上运行PC探测。