Zyxel Firewall [Веб-аутентификация] - как настроить веб-аутентификацию в зоне DMZ

Создан - Обновлено
Serhii Boiarynov
Print Friendly and PDF
Еще есть вопросы? Отправить запрос

Важное уведомление:
Уважаемый покупатель, пожалуйста, обратите внимание, что мы используем машинный перевод для предоставления статей на вашем местном языке. Не весь текст может быть переведен точно. Если есть вопросы или несоответствия по поводу точности информации в переведенной версии, пожалуйста, ознакомьтесь с оригинальной статьей здесь:Original Version

Веб-аутентификация - это процесс, который перехватывает сетевой трафик и перенаправляет его на страницу входа, где пользователям необходимо подтвердить подлинность своего соединения. Таким образом, все запросы к веб-страницам сначала направляются на страницу аутентификации. После успешной аутентификации пользователи могут получить доступ к остальной части сети или Интернету.

Страница аутентификации отображается только один раз за сеанс. Пользователи обычно не видят ее снова до тех пор, пока их сеанс не завершится или они не закроют соединение.

В этой статье мы покажем вам, как использовать веб-аутентификацию для гостевого WIFI в "DMZ" с VLAN.

Примечание: Обычно DMZ располагается между внешней и внутренней сетями, при этом брандмауэр ограничивает доступ из DMZ как к внутренней сети, так и к внешним ресурсам. Конфигурация брандмауэра может ограничить доступ DMZ к внешним сетям/ресурсам, что повлияет на работу служб, которым требуется доступ к Интернету или внешним серверам. Строгая фильтрация трафика: Брандмауэры применяют строгие правила фильтрации трафика для обеспечения безопасности. Определенные типы трафика или порты могут быть заблокированы/ограничены, что влияет на некоторые приложения/сервисы.

  • Войдите в веб-интерфейс вашего брандмауэра и перейдите в раздел:

Во-первых, нам нужно добавить VLAN в шлюз безопасности

Configuration > Network > Interface > VLAN > Add

  • Проверьте, назначен ли "DMZ" на какой-либо порт, если нет, то его нужно назначить. В нашем случае "DMZ" назначен на "порт 7".

  • Следующий шаг - "Включить веб-аутентификацию".
Configuration > Web Authentication > Enable Web Authentication

  • Для авторизации пользователей в нашем примере мы будем использовать "Session Page". Для этого установите флажок "Enable Session Page" и укажите удобный IP-адрес. Помните, что IP-адрес не должен пересекаться с сетями на шлюзе или других устройствах в вашей сети.

Примечание: Нет необходимости использовать "Сеансовую страницу" с указанным адресом, так как при первой попытке доступа к любым сайтам шлюз направит пользователя на страницу авторизации.

  • Также возможен сбор дополнительных данных пользователя, таких как электронная почта, номер телефона и другие. Стандартная форма находится на вкладке "Файл пользовательского соглашения клиента".

  • Следующим шагом будет добавление веб-правила "Authentication Policy Summary". При первой попытке пользователя получить доступ к любому сайту это правило будет перенаправлять его на страницу с формой аутентификации

В нашем примере мы используем веб-аутентификацию для всех в "DMZ", а также стандартную форму аутентификации.

  • Включение политики
  • Создайте новый объект для "vlan10".
  • Дайте четкое описание
  • Укажите "Входящий интерфейс", в нашем случае это "vlan10".
  • Поле аутентификации должно содержать - "required"
  • Принудительная аутентификация пользователя - "Enable"
  • Нажмите "OK" и "Применить".

  • Примечание: Именно в случае DMZ нам нужно разрешить https и http сервисы из DMZ на Zywall, чтобы страница аутентификации была доступна. 
Go to Configuration > Object > Service > Service Group

Внесите необходимые изменения в правило группы служб с именем "Default_Alow_DMZ_To_Zywall".

  • Следующим шагом будет создание пользователя, под которым вы сможете аутентифицироваться для доступа в Интернет для всех членов зоны "DMZ".

Go to Configuration > Object > User/Group > User

  • Нажмите "Добавить".

  • Введите понятное имя пользователя.

  • Тип пользователя должен быть указан как "пользователь".

  • Укажите надежный пароль

  • Нажмите "ОК"

Мы выполнили все необходимые настройки на стороне шлюза, теперь перейдем к настройкам коммутатора. В данном примере мы будем использовать коммутатор Zyxel XGS2220.

  • Войдите в веб-интерфейс коммутатора и перейдите по адресу:.
SWITCHING -> VLAN Setup 

Добавьте необходимые VLAN, в нашем случае это VLAN10. Для портов с 5 по 10 включительно. Порт 5 будет тегированным, к этому порту будет подключен наш брандмауэр. Порты с 6 по 10 будут нетегированными, к ним будут подключены точки доступа и компьютеры.


Сохраните изменения и перейдите на вкладку "VLAN Port Setup", чтобы указать необходимый PVID для портов 5-10. После внесения всех изменений сохраните настройки.

Настройки завершены. Для теста мы подключили точку доступа Zyxel NWA110AX к порту 6 и подключили ПК к порту 7.

Теперь все наши ПК, подключенные к точке доступа или портам 7-10, будут перенаправляться на следующую страницу при первом же сеансе при попытке зайти на любой сайт:


Статьи в этом разделе

Больше
Была ли эта статья полезной?
Пользователи, считающие этот материал полезным: 1 из 1
Поделиться