在 Palo Alto Networks 的架構中,SSL VPN (GlobalProtect) 與 使用者上網識別 (User-ID) 是兩個相輔相成但功能定位不同的技術。簡單來說,一個負責「建立連線」,另一個負責「身份與流量的對應」。
以下是兩者的主要差別與關聯:
1. 定位與功能
| 特性 | SSL VPN (GlobalProtect) | 使用者上網識別 (User-ID) |
| 主要目的 | 提供遠端存取。讓外部員工安全地連回公司內部網路。 | 提供流量透明化。讓防火牆知道特定 IP 背後的使用者是誰。 |
| 運作範圍 | 通常用於外網(Internet)進入內網的連線。 | 適用於全公司流量(包含內網上外網、內網跨區等)。 |
| 核心技術 | 透過 SSL/TLS 加密隧道傳輸數據。 | 透過讀取登入紀錄、Agent 掃描或 API 進行 IP-User 綁定。 |
2. 使用者識別的來源關係
這兩者之間最容易混淆的地方在於:SSL VPN 本身也是 User-ID 的來源之一。
User-ID (廣義概念): 防火牆需要知道 IP 對應誰。它會從很多地方找答案,例如:
AD Domain Controller: 讀取 Windows 的登入事件 (Event Log)。
User-ID Agent: 專門的軟體在後台抓取資訊。
GlobalProtect (SSL VPN): 當使用者撥入 VPN 時,必須輸入帳密。此時防火牆直接「百分之百確定」這個 VPN IP 對應的是哪個使用者。
SSL VPN 使用者: 由於撥接時已經過認證,他們的身份識別通常最準確,不需要額外的 Agent 掃描。
3. 實際應用場景範例
場景 A:員工在公司辦公室上網 (User-ID)
員工電腦插著網線,直接上網。
角色: 此時不需撥接 VPN。
識別方式: 防火牆透過 User-ID 功能(讀取網域登入紀錄),發現
192.168.1.10是User: Tom。結果: 防火牆政策可以設定「允許 Tom 使用 Facebook」,雖然他沒開 VPN。
場景 B:員工在咖啡廳辦公 (SSL VPN + User-ID)
員工打開電腦,連上 Wi-Fi,撥接 GlobalProtect VPN。
角色: SSL VPN 負責加密連線並分派一個虛擬 IP(例如
10.10.10.5)。識別方式: VPN 驗證通過後,防火牆自動生成一條
10.10.10.5 = User: Tom的對應紀錄。結果: 此後 Tom 存取公司系統的所有流量,在防火牆紀錄上都會顯示他的名字,這就是利用 VPN 完成了使用者識別。
總結
SSL VPN 是你的遠端通道,它順便告訴了防火牆「我是誰」。
User-ID 是防火牆的情報系統,它蒐集來自 VPN、AD、交換器等各方的資訊,讓管理者能寫出「某某人准許做某事」的規則,而不用管他人在哪裡、IP 是多少。
沒有留言:
張貼留言