Zyxel-brannmur [webautentisering] - hvordan konfigurere webautentisering i DMZ-sone

Opprettet - Oppdatert
Serhii Boiarynov
Idea generator
Great answers
Master (Platinum)
Print Friendly and PDF
Har du flere spørsmål? Send oss en henvendelse

Viktig merknad:
Kjære kunde, vær oppmerksom på at vi bruker maskinoversettelse for å levere artikler på ditt lokale språk. Det er ikke sikkert at all tekst er nøyaktig oversatt. Hvis det er spørsmål eller uoverensstemmelser om nøyaktigheten av informasjonen i den oversatte versjonen, kan du lese originalartikkelen her:Originalversjon

Webautentisering er en prosess som fanger opp nettverkstrafikk og omdirigerer den til en påloggingsside der brukerne må godkjenne tilkoblingen sin. Dette sikrer at alle forespørsler til websiden først sendes til autentiseringssiden. Når brukerne har godkjent autentiseringen, kan de få tilgang til resten av nettverket eller Internett.

Autentiseringssiden vises bare én gang per økt. Brukerne vil vanligvis ikke se den igjen med mindre økten går ut eller de avslutter tilkoblingen.

I denne artikkelen viser vi deg hvordan du bruker webautentisering for gjeste-WIFI i en "DMZ" med VLAN.

Merk: Vanligvis er DMZ-en plassert mellom det eksterne og det interne nettverket, og brannmuren begrenser tilgangen fra DMZ-en til både det interne nettverket og eksterne ressurser. Brannmurkonfigurasjonen kan begrense DMZ-tilgangen til eksterne nettverk/ressurser, noe som påvirker tjenester som krever tilgang til Internett eller eksterne servere. Streng trafikkfiltrering: Brannmurer bruker strenge trafikkfiltreringsregler for å ivareta sikkerheten. Enkelte typer trafikk eller porter kan blokkeres/begrenses, noe som påvirker enkelte applikasjoner/tjenester.

  • Logg på nettgrensesnittet til brannmuren og gå til seksjonen:

Først må vi legge til et VLAN i Security Gateway

Configuration > Network > Interface > VLAN > Add

  • Sjekk om "DMZ" er tilordnet en port, hvis ikke bør den tilordnes. I vårt tilfelle er "DMZ" tilordnet "port 7".

  • Neste trinn er "Aktiver webautentisering".
Configuration > Web Authentication > Enable Web Authentication

  • For å autorisere brukere i vårt eksempel vil vi bruke "Session Page". For å gjøre dette merker du av i boksen "Enable Session Page" og angir en passende IP-adresse. Husk at IP-adressen ikke må overlappe med noen av nettverkene på gatewayen eller andre enheter i nettverket.

Merk: Det er ikke nødvendig å bruke en "Session Page" med en spesifisert adresse, fordi gatewayen vil sende brukeren til autorisasjonssiden ved første forsøk på å få tilgang til et nettsted.

  • Det er også mulig å samle inn ytterligere brukerdata som e-post, telefonnummer og annet. Standardskjemaet finner du under fanen "Customer User Agreement File".

  • Det neste trinnet er å legge til nettregelen "Authentication Policy Summary". Første gang en bruker prøver å få tilgang til et nettsted, vil denne regelen omdirigere vedkommende til siden med autentiseringsskjemaet.

I vårt eksempel bruker vi webautentisering for alle i "DMZ", i tillegg til en standard form for autentisering.

  • Aktiver policy
  • Opprett et nytt objekt for "vlan10".
  • Gi en tydelig beskrivelse
  • Spesifiser "Incoming Interface", i vårt tilfelle er det "vlan10"
  • Autentiseringsfeltet skal inneholde - "required" (påkrevd)
  • Tving frem brukerautentisering - "Enable" (Aktiver)
  • Klikk på "OK" og "Bruk"

  • Merk: Det er i DMZ-tilfellet at vi må tillate https- og http-tjenester fra DMZ til Zywall, slik at autentiseringssiden kan nås. 
Go to Configuration > Object > Service > Service Group

Gjør de nødvendige endringene i tjenestegrupperegelen med navnet "Default_Alow_DMZ_To_Zywall".

  • Neste trinn er å opprette en bruker som du kan autentisere deg under for å få tilgang til Internett for alle medlemmer av "DMZ"-sonen.

Go to Configuration > Object > User/Group > User

  • Klikk på "Legg til".

  • Skriv inn et brukernavn som er lett å forstå

  • Brukertypen bør angis som "bruker".

  • Oppgi et sikkert passord

  • Klikk på "OK"

Vi har gjort alle nødvendige innstillinger på gateway-siden, så nå går vi videre til svitsjinnstillingene. I dette eksemplet bruker vi en Zyxel XGS2220-svitsj.

  • Logg inn på svitsjens webgrensesnitt og gå til:
SWITCHING -> VLAN Setup 

Legg til de nødvendige VLAN-ene, i vårt tilfelle VLAN10. For port 5 til og med 10. Port 5 vil være tagget, brannmuren vår vil være koblet til denne porten. Port 6 til og med 10 vil være umerket, og tilgangspunkter og PC-er vil være koblet til den.


Lagre endringene og gå til fanen "VLAN Port Setup" for å angi ønsket PVID for port 5-10. Når du har gjort alle endringene, lagrer du innstillingene.

Innstillingene er ferdige. Til testen koblet vi et Zyxel NWA110AX-tilgangspunkt til port 6 og en PC til port 7.

Nå vil alle PC-er som er koblet til tilgangspunktet eller port 7-10, bli omdirigert til neste side ved første økt når de prøver å gå til et hvilket som helst nettsted:


Artikler i denne seksjonen

Se mer
Var denne artikkelen nyttig?
1 av 1 syntes dette var nyttig
Del

Kommentarer

0 kommentarer

Logg på hvis du vil legge inn en kommentar.