Tärkeä huomautus: |
Verkkotodennus on prosessi, joka kaappaa verkkoliikenteen ja ohjaa sen kirjautumissivulle, jossa käyttäjien on todennettava yhteytensä. Näin varmistetaan, että kaikki verkkosivupyynnöt ohjataan ensin todennussivulle. Kun käyttäjät ovat onnistuneesti todennettu, he voivat käyttää muuta verkkoa tai Internetiä.
Todentamissivu näytetään vain kerran istunnon aikana. Käyttäjät eivät yleensä näe sitä uudelleen, ellei heidän istuntonsa päätty tai he sulkevat yhteyden.
Tässä artikkelissa näytämme, miten Web-todennusta käytetään vieras-WIFI:ssä "DMZ:ssä", jossa on VLAN.
Huomautus: Yleensä DMZ sijaitsee ulkoisen ja sisäisen verkon välissä, ja palomuuri rajoittaa pääsyä DMZ:stä sekä sisäiseen verkkoon että ulkoisiin resursseihin. Palomuurin määritys voi rajoittaa DMZ:n pääsyä ulkoisiin verkkoihin/resursseihin, mikä vaikuttaa palveluihin, jotka edellyttävät pääsyä Internetiin tai ulkoisiin palvelimiin. Tiukka liikenteen suodatus: Palomuurit soveltavat tiukkoja liikenteen suodatussääntöjä turvallisuuden varmistamiseksi. Tietyntyyppinen liikenne tai portit voidaan estää/rajoittaa, mikä vaikuttaa joihinkin sovelluksiin/palveluihin.
- Kirjaudu sisään palomuurin verkkokäyttöliittymään ja siirry kohtaan:
Ensin meidän on lisättävä VLAN Security Gatewayyn.
dyn_repppppppp_0- Tarkista, onko "DMZ" määritetty jollekin portille, jos ei ole, se olisi määritettävä. Meidän tapauksessamme "DMZ" on määritettyportille 7.
- Seuraava vaihe on "Enable Web Authentication".
- Käyttäjien valtuuttamiseen esimerkissämme käytämme "Istuntosivua". Tarkista tätä varten "Enable Session Page" -ruutu ja määritä sopiva IP-osoite. Muista, että IP-osoite ei saa olla päällekkäinen yhdyskäytävän tai muiden verkkosi laitteiden verkkojen kanssa.
Huomautus: "Istuntosivun" käyttäminen määritetyllä osoitteella ei ole välttämätöntä, koska yhdyskäytävä ohjaa käyttäjän valtuutussivulle ensimmäisellä yrityksellä käyttää mitä tahansa sivustoja.
- On myös mahdollista kerätä muita käyttäjätietoja, kuten sähköpostiosoite, puhelinnumero ja muita tietoja. Vakiolomake sijaitsee välilehdellä "Asiakkaan käyttäjäsopimustiedosto".
- Seuraava vaihe on lisätä Web "Authentication Policy Summary". Kun käyttäjä yrittää ensimmäistä kertaa käyttää mitä tahansa sivustoa, tämä sääntö ohjaa hänet todentamislomakkeen sivulle.
Esimerkissämme käytämme web-todennusta kaikille "DMZ:n" käyttäjille sekä tavallista todentamismuotoa.
- Ota käytäntö käyttöön
- Luo uusi objekti "vlan10":lle.
- Anna selkeä kuvaus
- Määritä "Incoming Interface", meidän tapauksessamme se on "vlan10".
- Autentikointikentän tulee sisältää - "required".
- Pakota käyttäjän todennus - "Enable"
- Klikkaa "OK" ja "Apply".
- Huomautus : DMZ-tapauksessa meidän on sallittava https- ja http-palvelut DMZ:stä Zywalliin, jotta todennussivulle pääsee.
Tee tarvittavat muutokset palveluryhmäsääntöön nimeltä "Default_Alow_DMZ_To_Zywall".
-
Seuraavaksi luodaan käyttäjä, jolla voit tunnistautua ja päästä Internetiin kaikille "DMZ"-vyöhykkeen jäsenille.
-
Napsauta "Lisää".
-
Kirjoita helppotajuinen käyttäjänimi
-
Käyttäjätyypiksi on määritettävä "user".
-
Anna turvallinen salasana
- Napsauta "OK"
Olemme tehneet kaikki tarvittavat asetukset yhdyskäytävän puolella, nyt siirrytään kytkimen asetuksiin. Tässä esimerkissä käytämme Zyxel XGS2220 -kytkintä.
- Kirjaudu sisään kytkimen verkkokäyttöliittymään ja siirry kohtaan:.
Lisää tarvittavat VLANit, meidän tapauksessamme se on VLAN10. Porttien 5-10 osalta mukaan lukien. Portti 5 merkitään, palomuurimme liitetään tähän porttiin. Portit 6-10 ovat merkitsemättömiä, ja niihin liitetään yhteyspisteitä ja tietokoneita.
Tallenna muutokset ja siirry "VLAN Port Setup" -välilehdelle määrittämään tarvittava PVID portteja 5-10 varten. Kun olet tehnyt kaikki muutokset, tallenna asetukset.
Asetukset on tehty. Testiä varten liitimme Zyxel NWA110AX -yhteyspisteen porttiin 6 ja PC:n porttiin 7.
Nyt kaikki yhteyspisteeseen tai portteihin 7-10 liitetyt PC:t ohjataan seuraavalle sivulle ensimmäisellä istunnolla, kun yritetään siirtyä mille tahansa sivustolle: