(!) Авторизация на аппаратных шлюзах серии ZyWALL USG

Каким образом аппаратный шлюз ZyWALL USG будет воспринимать хост как авторизованного клиента? Зачем нужна авторизация на устройстве и в каких случаях ее удобно применять?

В данной статье рассматривается авторизация пользователя на аппаратных шлюзах серии ZyWALL USG.
В правилах межсетевого экрана (Firewall) и контентной фильтрации трафика (Content Filter) при настройке доступа можно использовать поле User (пользователь). Сразу следует отметить, что эти правила будут действовать только при прохождении трафика через устройство. Для этого нужно, чтобы клиенты и ресурсы сети находились на разных физических интерфейсах или в разных vlan на одном физическом интерфейсе.
Рассмотрим все способы авторизации клиента, используемые на устройстве ZyWALL USG, для того чтобы можно было применить правила Firewall и Content Filter для предоставления доступа определенному пользователю.

Внимание! Пользователь, авторизованный в оперативной системе Windows не будет автоматически являться авторизованным пользователем аппаратного шлюза ZyWALL USG.
ZyWALL USG не может использовать уже существующую авторизацию пользователя из ОС Windows, как это может делать, например, Windows Server 2003-2008 (для этого необходимо взаимодействие с хостом на уровне лицензированных протоколов компании Microsoft).

Существует 3 способа авторизации клиента на шлюзе безопасности серии ZyWALL USG:

  1. Авторизованный клиент через веб-интерфейс аппаратного шлюза;
  2. Авторизованный клиент L2TP over IPSec;
  3. Авторизованный клиент SSL VPN в режиме полного туннелирования (Full Tunnel Mode).
     

Далее рассмотрим каждый из этих способов более подробно.

1. Авторизованный клиент через веб-интерфейс аппаратного шлюза

Как правило, этот вид авторизации используется для локальных клиентов, т.е. подключенных к локальным интерфейсам устройства. Авторизация позволяет не привязывать пользователя к определенному рабочему месту. После авторизации с любого компьютера локальной сети пользователь получает установленный на устройстве уровень доступа к определенным ресурсам в локальной и глобальной сети.

Для авторизации через веб-интерфейс устройства необходимо по протоколу http/https (используется соответсвенно порт 80/443) обратиться на IP-адрес аппаратного шлюза ZyWALL USG.
С компьютера, подключенного к локальному интерфейсу ZyWALL USG, для которого данный ZyWALL USG является основным шлюзом в сети, нужно обращаться на IP-адрес шлюза (как правило, в устройстве это IP-адрес lan-интерфейса).

Чтобы работала авторизация пользователя необходимо включить ее на устройстве. Для этого в веб-конфигураторе ZyWALL USG нужно зайти в меню Configuration > Auth. Policy и включить аутентификацию, т.е. поставить галочку в поле Enable Authentication Policy.

 

Далее нужно создать политику аутентификации. В разделе Authentication Policy Summary нажмите кнопу Add для создания новой политики.

В появившемся окне настройки политики поставьте галочку в поле Enable Policy и выполните следующие настройки:

В разделе User Authentication Policy в поле Source Address можно указать IP-адреса источника и в поле Destination Address IP-адрес назначения, для которых данная политика будет применяться.
Если установить значение any, политика будет применяться к любым сетевым пакетам, проходящим через устройство.
В поле Authentication можно выбрать действие, которое будет применено к сетевому трафику, критерии которого были установлены. Возможные значения: required (требуется аутентификация) или unnecessary (аутентификация не требуется).

Если требуется аутентификация для этого трафика, можно включить функцию Force User Authentication, тогда при попытке доступа к веб-ресурсам (если трафик подпадает под настроенные критерии) пользователь будет перенаправлен на страничку авторизации.

На странице авторизации пользователь сможет ввести свой логин (User Name) и пароль (Password). После успешной авторизации появится веб-страничка, где указывается время, на которое данному авторизованному пользователю предоставлен доступ.

Внимание! Если веб-страница с авторизацией будет закрыта (будет нажата кнопка Logout), пользователь автоматически отключится от устройства и соответственно потеряет указанные в настройках Firewall и Content Filter права доступа и/или ограничения.

После того как клиент успешно авторизован и воспринимается устройством ZyWALL USG как пользователь, его сессия будет отображаться на устройстве на странице Dashboard в System Status (для просмотра нажмите на количество пользователей в строчке Number of Login Users).

Настройка правил межсетевого экрана (Firewall).

Рассмотрим пример правил Firewall, которые необходимо создать, чтобы только пользователь (в нашем примере Test1) имел доступ в Интернет, а неавторизованным пользователям доступ будет заблокирован.

1. Сначала нужно создать правило, запрещающее передачу любого трафика из интерфейса LAN1 (к которому подключены локальные пользователи) к интерфейсу DMZ (к которому подключены ресурсы сети). В меню Configuration > Network > Zone нужно посмотреть, каким зонам принадлежат интерфейсы LAN1 и DMZ. По умолчанию эти интерфейсы принадлежат одноименным зонам LAN1 и DMZ.

В меню Configuration > Network > Firewall создаем правило Firewall из зоны LAN1 в DMZ.

Это правило будет блокировать неавторизованным пользователям доступ к ресурсам, подключенным к DMZ-интерфейсу. В этом правиле в поле From указывается зона, откуда будет идти трафик (в нашем примере это LAN1), а в поле To указывается зона, куда будет направлен трафик (в нашем примере это DMZ).
В поле Access укажите действие (allow/deny), например deny для безответного сброса сетевых пакетов, удовлетворяющих критериям данного правила.

2. Следующее правило Firewall нужно создать для разрешения доступа пользователю Test1. Так как Firewall обрабатывает правила по порядку, т.е. по номеру приоритета (Priority), разрешающее правило должно находиться выше в списке правил и иметь меньший номер.

В этом правиле в полях From и To указываем направление – из зоны LAN1 в зону DMZ. В поле User нужно указать пользователя (в нашем примере Test1), для которого необходимо разрешить доступ, а в поле Access – действие (в нашем примере allow, т.е. доступ разрешен).

Подробную информацию по настройке межсетевого экрана Firewall в аппаратных шлюзах серии ZyWALL USG можно найти в статье: «Настройка межсетевого экрана Firewall в аппаратных шлюзах серии ZyWALL USG»

Аналогичным образом можно запретить неавторизованным пользователям доступ к Интернету (в этом случае используется зона WAN) или к другим физическим, vlan-, br-интерфейсам, а также возможно между интерфейсами, включенными в один мост.
Дополнительную информацию о настройке сетевого моста (Bridge) в аппаратных шлюзах серии ZyWALL USG можно найти в статье: KB-2780

2. Авторизованный клиент L2TP over IPSec

При подключении пользователя через соединение L2TP over IPSec он также расценивается устройством ZyWALL USG как авторизованный пользователь и к нему можно применять правила Firewall и Content Filter. О настройке подключения L2TP VPN (L2TP over IPSec) в аппаратных шлюзах серии ZyWALL USG читайте в статье: «Настройка подключения L2TP VPN (L2TP over IPSec) в аппаратных шлюзах серии ZyWALL USG»

При подключении клиента L2TP over IPSec его сессию можно увидеть в Dashboard в разделе System Status, что можно увидеть, нажав на количество пользователей в строчке Number of Login Users.

Теперь правила Firewall или Content Filter можно настраивать, используя критерий User, и они будут срабатывать при подключении конкретного пользователя.

3. Авторизованный клиент SSL VPN в режиме полного туннелирования (Full Tunnel Mode)

При подключении клиента SSL VPN в режиме полного туннелирования (дополнительную информацию по режимам SSL можно найти в статье: БЗ-1810) точно так же как и клиент L2TP over IPSec он отображается в Dashboard в разделе System Status, нажав на количество пользователей в строчке Number of Login Users.

Теперь правила Firewall или Content Filter можно настраивать, используя критерий User, и они будут срабатывать при подключении конкретного пользователя.

KB-2731

Была ли эта статья полезной?
Пользователи, считающие этот материал полезным: 0 из 0