Genauso wie es das im Bereich der SSL-VPN Benutzer gibt, muss es das für AD-Benutzer geben. Ggf. ist der Weg dorthin eine Verknüpfung mit dem AV auf dem Endpunkt, der Informationen über den hier angemeldeten Benutzer liefert. (Oder ggf. das es sich um einen Terminalserver handelt (hier dürfen Userbasierte Regeln nicht gelten.)
Warum is diese Idee wichtig für das Produkt?
Netzwerktraffic muss immer öfter abhängig vom Benutzer und nicht abhängig vom Netzwerksegment erlaubt oder verboten werden. |
Eine VLAN basierte Lösung wie vom Support vorgeschlagen ist für unseren Use-Case nur mit unverhältnismäßig großem Aufwand umsetzbar, da hierfür jeder User ein eigenes VLAN benötigen würde.
Manche Regeln müssen individuell für einzelne Benutzer (und nicht Benutzergruppen) definiert werden.
Es ist auch wichtig, das der Benutzer sich nicht manuell an der Firewall authentifizieren muss. Stattdessen muss die UTM die Mapping Information (IP->User) automatisch ermitteln oder mitgeteilt bekommen.
Denkbar wäre dabei ein clientbasierter Dienst, der sich bei der UTM authentifiziert. Besser jedoch ein Dienst auf den Domänencontrollern welcher die aktuellen Anmeldeinformationen beispielsweise aus dem Ereignisprotokoll entnimmt und an die UTM weiterreicht. Dieser müsste außerdem die angemeldeten Clients überwachen um nicht mehr erreichbare wieder abzumelden.
Unsere vorherige Firewall (Cyberoam) konnte das schon ewig. Dazu wird auf dem DC ein Dienst installiert, der User-Anmeldungen aus dem Event-Log fischt und die Firewall dann darüber informiert hinter welcher IP welcher User aktuell steckt.