Это пример использования шлюза безопасности серии Zywall/USG для настройки гостевых учетных записей WiFi для предоставления ограниченного беспроводного доступа в Интернет и с использованием только протоколов - HTTP, HTTPS и DNS.
Пример топологии:
Пошаговая инструкция:
Настройте гостевую учетную запись WiFi, с диапазоном адресов на контроллере:
1. В веб интерфейсе контроллера перейдите в раздел CONFIGURATION > Object > User/Group > User. Нажмите «Add », чтобы настроить имя пользователя и установить тип пользователя - guest. Установите защищенный пароль и введите его снова для подтверждения.
Установите для параметра «Authentication Timeout Settings» значение «Use Manual Settings», чтобы указать количество минут, в течение которых этот пользователь должен возобновить текущий сеанс до выхода пользователя из системы. После этого нажмите кнопку «ОК»
2
2. Перейдите в раздел CONFIGURATION > Object > Address/Geo IP. Нажмите кнопку «add», чтобы создать правило для подсети гостевого доступа Wi-Fi. В этом примере AP подключен к интерфейсу LAN ZyWALL / USG с подсетью 192.168.2.0/24. Настройте Name для идентификации гостевой подсети Wi-Fi. Установите для сети значение 192.168.2.0, а для маски сети - 255.255.255.0. Нажмите ОК.
Примечание. Используемые IP-адреса являются только примерами. Используйте свои собственные IP-адреса.
3. Перейдите в раздел CONFIGURATION > Object > Service > Service Group. Нажмите кнопку Add, чтобы создать правило группы служб, разрешающее протоколы для гостевого пользователя Wi-Fi. Настройте Name, чтобы вы могли идентифицировать Сервисную Группу. Установите HTTP, HTTPS и DNS в одну группу участников и нажмите OK.
Настройте веб-аутентификацию на ZyWALL / USG:
-
Перейдите в раздел CONFIGURATION > Web Authentication > Web Authentication Policy Summary. Нажмите кнопку Add, чтобы настроить политику для перенаправления HTTP-трафика на экран входа пользователя. Настройте описание (необязательно), чтобы идентифицировать аутентификацию. Затем прокрутите вниз до списка адресов источника, чтобы выбрать вновь созданного гостевого пользователя Wi-Fi. Установите Authentication - required и поставьте галочку на «Force User Authentication»
- Перейдите в раздел CONFIGURATION > Web Authentication > Global Settings и выберете Enable Web Authentication
Установите политику безопасности на ZyWALL / USG:
-
Перейдите в раздел CONFIGURATION > Security Policy > Policy. Нажмите Add. Настройте Name, установите параметры - From: LAN и to: any (Excluding ZyWALL). В Service укажите ранее созданный сервис (в этом примере wifi_guest_access). В разделе User укажите ранее созданного пользователя (в этом примере wifi_guest_access). При необходимости, можете поставить лог - log либо log alert чтобы при каждом срабатывании правило устройство делало запись в лог.
ПРОВЕРКА:
-
Используйте мобильное устройство для подключения к точке доступа, которая подключена к контролеру. Когда вы попытаетесь получить доступ к Интернету, страница будет перенаправлен на экран входа пользователя на контроллер.
-
После авторизации, появится страница сеанса с таймером.
-
Перейдите в раздел Monitor > System Status > Login Users администратором, здесь можно увидеть текущий список пользователей, который показан в примере ниже.
-
Попытайтесь получить доступ к FTP-серверу (в данном примере это запрещенный сервис), авторизованный гостевой пользователь должен получить ошибку:
-
Перейдите в раздел Monitor > Log администратором, здесь можно увидеть что пользователь попытался использовать запрещенный протокол и был заблокирован доступ.