Ideco NGFW
Скачать PDF
vpp-v17
vpp-v17
  • Об Ideco NGFW VPP
  • Общая информация
    • Виды и состав лицензий
    • Системные требования и источники обновления данных
    • Техническая поддержка
  • Быстрый старт
    • Рекомендации при первоначальной настройке
    • MY.IDECO
    • Подготовка к установке на устройство
      • Настройка гипервизора
      • Подготовка загрузочного диска
    • Установка
    • Первоначальная настройка
    • Регистрация сервера
  • Настройка Ideco NGFW VPP
    • Панель мониторинга
    • Пользователи
      • Учетные записи
        • Настройка клиентских машин
      • Авторизация пользователей
        • IP и MAC авторизация
        • Авторизация по подсетям
      • Active Directory/Samba DC
        • Импорт пользователей
        • Аутентификация пользователей AD/Samba DC
      • ALD Pro
    • Мониторинг
      • Авторизованные пользователи
      • График загруженности
      • Telegram-бот
      • SNMP
      • Zabbix-агент
    • Правила трафика
      • Файрвол
      • Предотвращение вторжений
      • Объекты
    • Профили безопасности
      • Контроль приложений
        • Особенности создания профилей
        • Пример создания иерархической структуры
        • Настройка фильтрации трафика, для которого в таблице FORWARD нет правил
      • Контент-фильтр
        • Изменение страницы блокировки Контент-фильтра
      • TLS/SSL-инспекция
        • Настройка фильтрации HTTPS
    • Сервисы
      • Сетевые интерфейсы
      • Маршрутизация
      • BGP
      • DNS
      • NTP-сервер
      • Сертификаты
        • Загрузка SSL-сертификата на сервер
        • Создание самоподписанного сертификата c помощью Powershell
        • Создание сертификата c помощью openssl
    • Отчеты и журналы
      • Журнал событий
      • События безопасности
      • Действия администраторов
      • Журнал авторизации
      • Конструктор отчетов
      • Syslog
    • Управление севером
      • Администраторы
      • Автоматическое обновление
      • Бекапы
      • Терминал
      • Лицензия
      • Дополнительно
  • Диагностика проблем
    • Проблемы при авторизации пользователей
    • Восстановление пароля администратора
    • Примеры диагностики через терминал
    • Удаленный доступ к серверу
  • changelog
    • Ideco NGFW VPP 17.X
    • ФСТЭК Ideco UTM 16.X
Powered by GitBook
On this page
  • Авторизация только по IP-адресу
  • Авторизация только по MAC-адресу

Was this helpful?

  1. Настройка Ideco NGFW VPP
  2. Пользователи
  3. Авторизация пользователей

IP и MAC авторизация

Статья описывает процесс настройки IP и MAC авторизации в Ideco NGFW VPP.

PreviousАвторизация пользователейNextАвторизация по подсетям

Last updated 9 months ago

Was this helpful?

Для создания правила IP и MAC авторизации:

  • Перейдите в раздел Пользователи -> Авторизация -> IP и MAC авторизация;

  • Нажмите Добавить и заполните форму используя возможности:

    • заполнять поля IP и MAC можно как вместе, так и отдельно;

    • установка флага Постоянно авторизован обеспечит непрерывный доступ в интернет, даже если пользователь не активен.

    • созданные в этом разделе правила отражаются в .

Пользователи, которые находятся за маршрутизатором в локальной сети NGFW, не могут авторизоваться правилам IP+MAС или MAC, так как маршрутизатор не обрабатывает трафик уровня L2.

Авторизация только по IP-адресу

При авторизации по IP пользователь получит доступ до Интернет-ресурсов после инициации подключения. Без ввода логина и пароля.

Также можно авторизовать сетевые устройства (камеры видеонаблюдения, сетевые принтеры и прочее), которые находятся в разных с Ideco NGFW широковещательных доменах и требуют доступ в Интернет. Это позволит NGFW создать сессию, а сетевому оборудованию не потребуется делать запрос в Интернет.

Если правило авторизации задается устройству (маршрутизатору) и в нем включен SNAT, то при авторизации его внешнего IP на NGFW, все пользователи за этим маршрутизатором получат доступ в Интернет.

IP-адрес на компьютере/устройстве, с которого инициируется сессия, должен совпадать с указанным в правиле.

Создание правила авторизации по IP-адресу

Чтобы авторизовать пользователя по IP-адресу:

  2. Перейдите в раздел Пользователи -> Учетные записи -> учетная запись пользователя -> IP и MAC авторизация или Пользователи -> Авторизация -> IP и MAC авторизация.

  3. Создайте правило-связку IP-адрес <--> Пользователь:

Просмотр сессии

После того как пользователь делает запрос в Интернет, на NGFW будет автоматически создана сессия с типом авторизации IP в разделе Мониторинг -> Авторизованные пользователи:

Под одним пользователем можно авторизовать только одно устройство по IP-адресу. Но одновременно с данным типом авторизации под одним пользователем можно авторизовать еще четыре устройства любым другим методом авторизации.

Авторизация только по MAC-адресу

Данный тип авторизации подойдет для тех устройств, у которых время от времени меняется местоположение между локальными сетями внутри организации (например, рабочие ноутбуки сотрудников) или сетевых устройств, на которых не настроена привязка IP+MAC и выдается IP-адрес через DHCP.

Создание правила авторизации по MAC-адресу

Чтобы авторизовать пользователя по MAC-адресу, необходимо выполнить следующие действия:

1. Узнать MAC-адрес устройства. Для этого в командной строке Windows введите команду: ipconfig /all | findstr Address Для русскоязычной версии: ipconfig /all | findstr адрес

2. Удостовериться, что компьютер и NGFW находятся в одном широковещательном домене. Для этого на NGFW в разделе Управление сервером -> Терминал введите команду: ip neigh:

Команда выводит ARP-таблицу NGFW, наличие записи с MAC-адресом устройства и статусом REACHEBLE говорит об имеющейся L2 доступности между NGFW и устройством.

3. Создать правило-связку Пользователь <--> MAC-адрес в разделе Пользователи -> Авторизация -> IP и MAC авторизация:

Для MAC-авторизации невозможно настроить постоянную авторизацию. Это технически невозможно, т.к. для создания авторизованной сессии необходим IP-адрес.

Рекомендуем в телефонах отключать опцию Рандомизация MAC-адреса, она мешает при авторизации телефона по MAC-адресу.

в Ideco NGFW или его из Active Directory, который будет авторизован по IP.

импортируйте
Создайте пользователя
учетной записи пользователя