Авторизация по IP-адресу
В статье рассмотрены особенности авторизации по IP-адресам в Ideco NGFW.
Last updated
В статье рассмотрены особенности авторизации по IP-адресам в Ideco NGFW.
Last updated
При авторизации по IP пользователь получает доступ в интернет без ввода логина и пароля сразу после инициации подключения.
Доступна авторизация сетевых устройств (камеры видеонаблюдения, сетевые принтеры и прочее), которые находятся в разных с Ideco NGFW широковещательных доменах и требуют доступ в интернет.
Если устройством является маршрутизатор, в котором включен SNAT, при авторизации его внешнего IP на NGFW все пользователи за этим маршрутизатором получат доступ в интернет.
Пользователи, которые находятся за маршрутизатором в локальной сети NGFW, не могут авторизоваться по IP+MAC, так как маршрутизатор не обрабатывает трафик уровня L2.
Если настроена авторизация по IP-адресу, то этот IP не будет выдаваться DHCP.
Для авторизации пользователя по IP-адресу выполните действия:
1. Создайте пользователя для авторизации по IP в Ideco NGFW или импортируйте его, например, из Active Directory.
2. Перейдите в раздел Пользователи -> Учетные записи -> Карточка пользователя -> IP и MAC авторизация или Пользователи -> Авторизация -> IP и MAC авторизация.
3. Создайте правило-связку IP-адрес <--> Пользователь:
IP-адрес на устройстве, с которого инициируется сессия, должен совпадать с указанным в правиле. Кнопка Получить MAC по IP будет активна, если IP пользователя и IP Ideco NGFW в одной подсети.
Рекомендации по использованию авторизации по IP-адресу:
Настройте для пользователя, которым является сетевое оборудование, Постоянную авторизацию. Это позволит NGFW создать сессию, а сетевому оборудованию не потребуется делать запрос в интернет;
Настройте статический IP-адрес или DHCP с привязкой по IP-адресу. Это требуется, например, для ресурсов, опубликованных через DNAT;
Воспользуйтесь поиском устройств для автоматического создания пользователей при попытке выхода в интернет. Подробнее о настройке читайте в статье Обнаружение устройств.
При использовании авторизации по IP со статической привязкой в DHCP рекомендуем перенести такие правила на авторизацию по MAC-адресу.
После запроса пользователя в интернет на NGFW в разделе Мониторинг -> Авторизованные пользователи автоматически создается сессия с типом авторизации IP:
У сессий с типом IP не заполняется поле MAC-адрес, так как уже указан IP-адрес, необходимый для создания сессии.
Под одним пользователем можно авторизовать только одно устройство по IP-адресу. Но одновременно с данным типом авторизации под одним пользователем можно авторизовать еще четыре устройства любым другим методом авторизации.
