Ideco NGFW
Скачать PDF
vpp-v16
vpp-v16
  • Об Ideco NGFW VPP
  • Общая информация
    • Виды и состав лицензий
    • Системные требования и источники обновления данных
    • Техническая поддержка
  • Быстрый старт
    • Рекомендации при первоначальной настройке
    • MY.IDECO
    • Подготовка к установке на устройство
      • Настройка гипервизора
      • Подготовка загрузочного диска
    • Установка
    • Первоначальная настройка
    • Регистрация сервера
  • Расширенная настройка
    • Настройка пользователей и интеграция с контроллерами домена
      • Дерево пользователей и управление учетными записями
      • Настройка авторизации пользователей
        • Авторизация через журнал безопасности Active Directory
        • IP и MAC авторизация
        • Авторизация по подсетям
      • Настройка интеграции с Active Directory
      • Настройка интеграции с ALD Pro
    • Управление трафиком
      • Профили безопасности
      • Файрвол
      • Предотвращения вторжений
      • Маршрутизация
      • BGP
      • Контент-фильтр
      • Прокси
    • Управление сервером и его настройка
      • Управление сетевыми интерфейсами
      • Сертификаты
      • Загрузка своего SSL-сертификата
      • Терминал
      • Управление лицензиями
      • Управление администраторами
      • Настройка доступа к серверу по SSH
      • Объекты: создание, редактирование и удаление
      • Резервное копирование
      • Автоматическое обновление
      • NTP-сервер: принцип работы и настройка
      • DNS
      • Настройка часового пояса и языка
    • Журналирование и мониторинг
      • Панель мониторинга
      • Логирование: логи работы модулей и их отправка на удаленный сервера
      • Действия администраторов
      • Статистика и журнал событий безопасности
      • История авторизации пользователей
      • Отчеты: создание шаблонов и отправка на почту
      • Информация об активных сессиях пользователей
      • Информация о загруженности системы
      • Telegram, Ideco Monitoring Bot и Zabbix агент
    • Настройка клиентских машин
      • Настройка соединения c NGFW VPP
  • Диагностика проблем
    • Проблемы при авторизации пользователей
    • Восстановление пароля администратора
    • Примеры диагностики через терминал
  • changelog
    • Ideco NGFW VPP 16.X
Powered by GitBook
On this page
  • Авторизация только по IP-адресу
  • Авторизация только по MAC-адресу

Was this helpful?

  1. Расширенная настройка
  2. Настройка пользователей и интеграция с контроллерами домена
  3. Настройка авторизации пользователей

IP и MAC авторизация

Статья описывает процесс настройки IP и MAC авторизации в Ideco NGFW VPP.

PreviousАвторизация через журнал безопасности Active DirectoryNextАвторизация по подсетям

Last updated 1 year ago

Was this helpful?

Для создания правила IP и MAC авторизации:

  • Перейдите в раздел Пользователи -> Авторизация -> IP и MAC авторизация;

  • Нажмите Добавить и заполните форму используя возможности:

    • заполнять поля IP и MAC можно как вместе, так и отдельно;

    • установка флага Постоянно авторизован обеспечит непрерывный доступ в интернет, даже если пользователь не активен.

    • созданные в этом разделе правила отражаются в .

Пользователи, которые находятся за маршрутизатором в локальной сети NGFW, не могут авторизоваться правилам IP+MAС или MAC, так как маршрутизатор не обрабатывает трафик уровня L2.

Авторизация только по IP-адресу

При авторизации по IP пользователь получит доступ до Интернет-ресурсов после инициации подключения. Без ввода логина и пароля.

Также можно авторизовать сетевые устройства (камеры видеонаблюдения, сетевые принтеры и прочее), которые находятся в разных с Ideco NGFW широковещательных доменах и требуют доступ в Интернет. Это позволит NGFW создать сессию, а сетевому оборудованию не потребуется делать запрос в Интернет.

Если правило авторизации задается устройству (маршрутизатору) и в нем включен SNAT, то при авторизации его внешнего IP на NGFW, все пользователи за этим маршрутизатором получат доступ в Интернет.

IP-адрес на компьютере/устройстве, с которого инициируется сессия, должен совпадать с указанным в правиле.

Создание правила авторизации по IP-адресу

Чтобы авторизовать пользователя по IP-адресу:

  2. Перейдите в раздел Пользователи -> Учетные записи -> учетная запись пользователя -> IP и MAC авторизация или Пользователи -> Авторизация -> IP и MAC авторизация.

  3. Создайте правило-связку IP-адрес <--> Пользователь:

Просмотр сессии

После того как пользователь делает запрос в Интернет, на NGFW будет автоматически создана сессия с типом авторизации IP в разделе Мониторинг -> Авторизованные пользователи:

Под одним пользователем можно авторизовать только одно устройство по IP-адресу. Но одновременно с данным типом авторизации под одним пользователем можно авторизовать еще четыре устройства любым другим методом авторизации.

Авторизация только по MAC-адресу

Данный тип авторизации подойдет для тех устройств, у которых время от времени меняется местоположение между локальными сетями внутри организации (например, рабочие ноутбуки сотрудников) или сетевых устройств, на которых не настроена привязка IP+MAC и выдается IP-адрес через DHCP.

Создание правила авторизации по MAC-адресу

Чтобы авторизовать пользователя по MAC-адресу, необходимо выполнить следующие действия:

1. Узнать MAC-адрес устройства. Для этого в командной строке Windows введите команду: ipconfig /all | findstr Address Для русскоязычной версии: ipconfig /all | findstr адрес

2. Удостовериться, что компьютер и NGFW находятся в одном широковещательном домене. Для этого на NGFW в разделе Управление сервером -> Терминал введите команду: ip neigh:

Команда выводит ARP-таблицу NGFW, наличие записи с MAC-адресом устройства и статусом REACHEBLE говорит об имеющейся L2 доступности между NGFW и устройством.

3. Создать правило-связку Пользователь <--> MAC-адрес в разделе Пользователи -> Авторизация -> IP и MAC авторизация:

Для MAC-авторизации невозможно настроить постоянную авторизацию. Это технически невозможно, т.к. для создания авторизованной сессии необходим IP-адрес.

Рекомендуем в телефонах отключать опцию Рандомизация MAC-адреса, она мешает при авторизации телефона по MAC-адресу.

в Ideco NGFW или его из Active Directory, который будет авторизован по IP.

Создайте пользователя
импортируйте
учетной записи пользователя