Netzwerkperimeter verwalten
Netzwerkperimeter in einer Identitätsdomain in IAM beschränken die IP-Adressen, mit denen Benutzer sich anmelden können.
In diesem Abschnitt werden folgende Themen behandelt:
- Einführung
- Netzwerkperimeter erstellen
- Details eines Netzwerkperimeters abrufen
- Netzwerkperimeter aktualisieren
- Netzwerkperimeter löschen
Einführung
Nachdem Sie einen Netzwerkperimeter erstellt haben, können Sie verhindern, dass Benutzer sich bei IAM anmelden, wenn sie eine der IP-Adressen im Netzwerkperimeter verwenden. Dies wird als Sperrung bezeichnet. Eine Sperrliste enthält verdächtige IP-Adressen oder Domains. Beispiel: Ein Benutzer möchte sich mit einer IP-Adresse bei IAM anmelden, die aus einem Land stammt, in dem Hacking sehr verbreitet ist.
Eine IP-Adresse ist eine Folge von Zahlen, die das Netzwerk jedes mit dem Internet verbundenen Geräts identifiziert. Sie ist mit einer Absenderadresse auf einem Umschlag zu vergleichen und ist mit einer menschenlesbaren Domain verknüpft. Da die IP-Adresse anderen Geräten anzeigt, woher Daten stammen, ist sie eine gute Möglichkeit, fehlerhafte Inhalte zu verfolgen.
Sperrlisten können eine einzelne IP-Adresse oder einen (festgelegten) IP-Bereich enthalten. Anhand dieser Informationen kann IAM Benutzer sperren, die versuchen, sich von verdächtigen IP-Adressen aus anzumelden.
Sie können IAM auch so konfigurieren, dass sich Benutzer nur mit IP-Adressen anmelden können, die im Netzwerkperimeter enthalten sind. Dies wird als Ausnahmeliste bezeichnet. Dabei werden Benutzer, die versuchen, sich mit den IP-Adressen auf der Liste bei IAM anzumelden, akzeptiert. Die Ausnahmeliste ist das genaue Gegenteil einer Sperrliste. Letztere enthält IP-Adressen, die verdächtig sind, und denen der Zugriff auf IAM verweigert wird.
Sie können IAM so konfigurieren, dass nur Benutzer, die eine bestimmte IP-Adresse oder IP-Adresse in einem bestimmten Bereich verwenden, sich bei IAM anmelden können. Sie können IAM auch so konfigurieren, dass eine Überwachung auf verdächtige IP-Adressen oder IP-Adressbereiche erfolgt und verhindert wird, dass Benutzer, die diese IP-Adressen verwenden, sich bei IAM anmelden.
Mit einem Netzwerkperimeter können Sie in einem Standardformat eine genaue IP-Adresse, einen IP-Adressbereich oder eine Gruppe maskierter IP-Adressen definieren. Sowohl Internet Protocol Version 4 (IPv4) als auch Internet Protocol Version 6 (IPv6) werden unterstützt.
-
Genaue IP-Adresse. Sie können eine oder mehrere IP-Adressen eingeben. Wenn Sie mehrere genaue IP-Adressen eingeben, trennen Sie sie jeweils durch ein Komma.
-
Zwei IP-Adressen, durch einen Bindestrich getrennt, die einen IP-Bereich bilden. Beispiel: Wenn Sie den IP-Bereich
10.10.10.1-10.10.10.10angeben, verwendet jeder Benutzer, der versucht, sich bei IAM mit einer IP-Adresse von10.10.10.1bis10.10.10.10anzumelden, eine IP-Adresse, die in den IP-Bereich fällt. -
Maskierter IP-Adressbereich. Jede Zahl einer IP-Adresse besteht aus 8 Bit. Beispiel: Bei dem maskierten Bereich
10.11.12.18/24sind die ersten drei Zahlen (24 Bit) die Maske, die angewendet werden muss, um zu prüfen, ob eine IP-Adresse in diesem Bereich liegt. In diesem Beispiel sind gültige IP-Adressen diejenigen, die mit10.11.12beginnen.
Die oben aufgeführten Beispiele verwenden IP-Adressen mit dem IPv4-Protokoll. Sie können jedoch die gleichen Formate auf IP-Adressen anwenden, die das IPv6-Protokoll verwenden (z.B.
B138:C14:52:8000:0:0:4D8).Nach der Definition von Netzwerkperimetern können Sie sie einer Anmelde-Policy zuweisen und die Policy so konfigurieren, dass bei dem Versuch, sich mit einer im Netzwerkperimeter definierten IP-Adresse bei IAM anzumelden, die Anmeldung bei IAM oder der Zugriff auf IAM verhindert wird.
Weitere Informationen zum Zuweisen von Netzwerkperimetern zu einer Anmelde-Policy finden Sie unter Anmelde-Policy hinzufügen.