Zyxel Firewall [Web-Authentifizierung] - Wie wird die Web-Authentifizierung in der DMZ-Zone eingerichtet?

Wichtiger Hinweis:
Sehr geehrte Kundin, sehr geehrter Kunde, bitte beachten Sie, dass wir maschinelle Übersetzung verwenden, um Artikel in Ihrer Landessprache bereitzustellen. Es kann sein, dass nicht alle Texte korrekt übersetzt werden. Sollten Sie Fragen oder Unstimmigkeiten bezüglich der Richtigkeit der Informationen in der übersetzten Version haben, lesen Sie bitte den Originalartikel hier:Originalversion

Die Web-Authentifizierung ist ein Prozess, der den Netzwerkverkehr erfasst und auf eine Anmeldeseite umleitet, auf der die Benutzer ihre Verbindung authentifizieren müssen. Dadurch wird sichergestellt, dass alle Webseitenanfragen zunächst an die Authentifizierungsseite weitergeleitet werden. Sobald sich die Benutzer erfolgreich authentifiziert haben, können sie auf das restliche Netzwerk oder das Internet zugreifen.

Die Authentifizierungsseite wird nur einmal pro Sitzung angezeigt. Die Benutzer sehen sie in der Regel erst wieder, wenn ihre Sitzung beendet oder die Verbindung geschlossen wird.

In diesem Artikel zeigen wir Ihnen, wie Sie die Web-Authentifizierung für Gast-WIFI in einer "DMZ" mit VLAN verwenden können.

Hinweis: Normalerweise befindet sich die DMZ zwischen dem externen und dem internen Netzwerk, wobei die Firewall den Zugriff von der DMZ sowohl auf das interne Netzwerk als auch auf externe Ressourcen einschränkt. Die Firewall-Konfiguration kann den DMZ-Zugang zu externen Netzwerken/Ressourcen einschränken, was sich auf Dienste auswirkt, die Zugriff auf das Internet oder externe Server benötigen. Strenge Verkehrsfilterung: Firewalls wenden strenge Regeln zur Verkehrsfilterung an, um die Sicherheit zu gewährleisten. Bestimmte Arten von Datenverkehr oder Ports können blockiert/eingeschränkt werden, wodurch einige Anwendungen/Dienste beeinträchtigt werden.

  • Melden Sie sich bei der Weboberfläche Ihrer Firewall an und gehen Sie zum Abschnitt:

Zunächst müssen wir das VLAN zum Security Gateway hinzufügen

Configuration > Network > Interface > VLAN > Add

  • Prüfen Sie, ob "DMZ" einem Port zugewiesen ist, falls nicht, sollte er zugewiesen werden. In unserem Fall ist "DMZ" dem "Port 7" zugewiesen.

  • Der nächste Schritt ist "Enable Web Authentication".
Configuration > Web Authentication > Enable Web Authentication

  • Für die Autorisierung der Benutzer in unserem Beispiel werden wir die "Session Page" verwenden. Aktivieren Sie dazu das Kontrollkästchen "Sitzungsseite aktivieren" und geben Sie eine geeignete IP-Adresse an. Beachten Sie, dass sich die IP-Adresse nicht mit einem der Netzwerke Ihres Gateways oder anderer Geräte in Ihrem Netzwerk überschneiden darf.

Hinweis: Es ist nicht notwendig, eine "Sitzungsseite" mit einer bestimmten Adresse zu verwenden, da das Kabelmodem den Benutzer beim ersten Versuch, auf Websites zuzugreifen, auf die Autorisierungsseite weiterleitet.

  • Es ist auch möglich, zusätzliche Benutzerdaten wie E-Mail, Telefonnummer und andere zu erfassen. Das Standardformular befindet sich auf der Registerkarte "Customer User Agreement File".

  • Der nächste Schritt ist das Hinzufügen der Web "Authentication Policy Summary". Wenn ein Benutzer zum ersten Mal versucht, auf eine Website zuzugreifen, wird er mit dieser Regel auf die Seite mit dem Authentifizierungsformular umgeleitet

In unserem Beispiel verwenden wir die Web-Authentifizierung für alle in der "DMZ" sowie eine Standardform der Authentifizierung.

  • Aktivieren Sie die Richtlinie
  • Erstellen Sie ein neues Objekt für Ihr "vlan10".
  • Geben Sie eine klare Beschreibung
  • Geben Sie die "Eingehende Schnittstelle" an, in unserem Fall ist es "vlan10"
  • Das Authentifizierungsfeld sollte - "erforderlich" enthalten
  • Erzwingen Sie die Benutzerauthentifizierung - "Aktivieren".
  • Klicken Sie auf "OK" und "Übernehmen".

  • Hinweis: Im Fall der DMZ müssen wir https- und http-Dienste von der DMZ zur Zywall zulassen, damit die Authentifizierungsseite erreicht werden kann.
Go to Configuration > Object > Service > Service Group

Nehmen Sie die erforderlichen Änderungen an der Dienstgruppenregel mit dem Namen "Default_Alow_DMZ_To_Zywall" vor.

  • Im nächsten Schritt erstellen Sie einen Benutzer, unter dem Sie sich für den Internetzugang aller Mitglieder der "DMZ"-Zone authentifizieren können.

Go to Configuration > Object > User/Group > User
  • Klicken Sie auf "Hinzufügen".

  • Geben Sie einen leicht verständlichen Benutzernamen ein.

  • Der Benutzertyp sollte als "Benutzer" angegeben werden.

  • Geben Sie ein sicheres Passwort ein

  • Klicken Sie auf "OK"

Nachdem wir alle notwendigen Einstellungen auf der Gateway-Seite vorgenommen haben, kommen wir nun zu den Switch-Einstellungen. Für dieses Beispiel verwenden wir einen Zyxel XGS2220 Switch.

  • Loggen Sie sich in die Weboberfläche Ihres Switches ein und gehen Sie zu:
SWITCHING -> VLAN Setup 

Fügen Sie die erforderlichen VLANs hinzu, in unserem Fall ist es VLAN10. Für die Ports 5 bis einschließlich 10. Port 5 wird getaggt sein, unsere Firewall wird mit diesem Port verbunden sein. Die Ports 6 bis 10 sind nicht getaggt, an sie werden Access Points und PCs angeschlossen.


Speichern Sie Ihre Änderungen und gehen Sie zur Registerkarte "VLAN Port Setup", um die erforderliche PVID für die Ports 5-10 festzulegen. Nachdem Sie alle Änderungen vorgenommen haben, speichern Sie die Einstellungen.

Die Einstellungen sind abgeschlossen. Für den Test haben wir einen Zyxel NWA110AX Access Point an Port 6 und einen PC an Port 7 angeschlossen.

Jetzt werden alle PCs, die mit dem Zugangspunkt oder den Ports 7-10 verbunden sind, bei der ersten Sitzung auf die nächste Seite umgeleitet, wenn sie versuchen, eine Website aufzurufen:


Beiträge in diesem Abschnitt

War dieser Beitrag hilfreich?
1 von 1 fanden dies hilfreich
Teilen