Настройка гостевой учетной записи для доступа в Интернет на шлюзах безопасности серии Zywall/USG

Это пример использования шлюза безопасности серии Zywall/USG для настройки гостевых учетных записей WiFi для предоставления ограниченного беспроводного доступа в Интернет и с использованием только протоколов - HTTP, HTTPS и DNS.

Пример топологии:

Пошаговая инструкция:

Настройте гостевую учетную запись WiFi, с диапазоном адресов на контроллере:

1. В веб интерфейсе контроллера перейдите в раздел CONFIGURATION > Object > User/Group > User. Нажмите «Add », чтобы настроить имя пользователя и установить тип пользователя - guest. Установите защищенный пароль и введите его снова для подтверждения.

Установите для параметра «Authentication Timeout Settings» значение «Use Manual Settings», чтобы указать количество минут, в течение которых этот пользователь должен возобновить текущий сеанс до выхода пользователя из системы. После этого нажмите кнопку «ОК»
 2

2. Перейдите в раздел CONFIGURATION > Object > Address/Geo IP. Нажмите кнопку «add», чтобы создать правило для подсети гостевого доступа Wi-Fi. В этом примере AP подключен к интерфейсу LAN ZyWALL / USG с подсетью 192.168.2.0/24. Настройте Name для идентификации гостевой подсети Wi-Fi. Установите для сети значение 192.168.2.0, а для маски сети - 255.255.255.0. Нажмите ОК.

Примечание. Используемые IP-адреса являются только примерами. Используйте свои собственные IP-адреса.

3. Перейдите в раздел CONFIGURATION > Object > Service > Service Group. Нажмите кнопку Add, чтобы создать правило группы служб, разрешающее протоколы для гостевого пользователя Wi-Fi. Настройте Name, чтобы вы могли идентифицировать Сервисную Группу. Установите HTTP, HTTPS и DNS в одну группу участников и нажмите OK.

Настройте веб-аутентификацию на ZyWALL / USG:

1. Перейдите в раздел CONFIGURATION > Web Authentication > Web Authentication Policy Summary. Нажмите кнопку Add, чтобы настроить политику для перенаправления HTTP-трафика на экран входа пользователя. Настройте описание (необязательно), чтобы идентифицировать аутентификацию. Затем прокрутите вниз  до списка адресов источника, чтобы выбрать вновь созданного гостевого пользователя Wi-Fi. Установите Authentication - required и поставьте галочку на «Force User Authentication» 
2. Перейдите в раздел CONFIGURATION > Web Authentication > Global Settings и выберете Enable Web Authentication

Установите политику безопасности на ZyWALL / USG:

1. Перейдите в раздел CONFIGURATION > Security Policy > Policy. Нажмите Add. Настройте Name, установите параметры - From: LAN и to: any (Excluding ZyWALL). В Service укажите ранее созданный сервис (в этом примере wifi_guest_access). В разделе User укажите ранее созданного пользователя (в этом примере wifi_guest_access). При необходимости, можете поставить лог - log либо log alert чтобы при каждом срабатывании правило устройство делало запись в лог.

ПРОВЕРКА:

1. Используйте мобильное устройство для подключения к точке доступа, которая подключена к контролеру. Когда вы попытаетесь получить доступ к Интернету, страница будет перенаправлен на экран входа пользователя на контроллер. 
2. После авторизации, появится страница сеанса с таймером. 

4. Перейдите в раздел Monitor > System Status > Login Users администратором, здесь можно увидеть текущий список пользователей, который показан в примере ниже. 
5. Попытайтесь получить доступ к FTP-серверу (в данном примере это запрещенный сервис), авторизованный гостевой пользователь должен получить ошибку:
   
6. Перейдите в раздел Monitor > Log администратором, здесь можно увидеть что пользователь попытался использовать запрещенный протокол и был заблокирован доступ.