Лекция: Destination Network: all-nets
Рисунок 12 – Вид настройки IP Rule в разделе «Address Filter»
6 Отредактируйте «allow_ftp-passthrough» «IP_Rule», так чтобы только аутентифицированные пользователи могли выйти в Интернет при помощи FTP. Для этого во вкладке General и Address Filter отредактируйте правило так как показано в таблице 1.
Таблица 1 – Редактирование правила «allow_ftp-passthrough» «IP_Rule»
General | Name | Action | Service | Schedule |
allow_passthrough | NAT | ftp-passthrough | None | |
Address Filter | Source Interface | Source Network lan-auth | Destination Interface ftp-passthrough | Destination Network all-nets |
lan |
7 Отредактируйте правило «allow_standard» «IP_Rule», так, чтобы разрешать только аутентифицированным пользователям выйти в Интернет. Параметры правила указаны в таблице 2.
Таблица 2 – Редактирование правила «allow_standard» «IP_Rule»
General | Name | Action | Service | Schedule |
allow_passthrough | NAT | all_tcpudp | None | |
Address Filter | Source Interface | Source Network | Destination Interface | Destination Network |
lan | lan-auth | wan1 | all-nets |
8 Добавьте новое «IP_Rule», которое позволит пользователям выйти непосредственно на страницу аутентификации, путем ввода IP-адреса lan в окне браузера. (192.168.1.1). Параметры правила указаны в таблице 3.
Таблица 3 — Параметры для нового правила
General | Name | Action | Service | Schedule |
allow_httpauth | Allow | http-all | None | |
Address Filter | Source Interface | Source Network | Destination Interface | Destination Network |
lan | lannet | core | lan_ip |
9 Создайте последнее правило «IP_Rule», которое будет отклонять весь трафик от пользователей, не прошедших аутентификацию, таблица 4.
Таблица 4 -Параметры для нового правила
General | Name | Action | Service | Schedule |
reject_all | Reject | all_services | None | |
Address Filter | Source Interface | Source Network | Destination Interface | Destination Network |
lan | lannet | wan1 | all-nets |
5.5.5 Измените порядок следования правил так, как показано на рисунке 13. Порядок следования правил очень важен. Если правила расположены в неправильном порядке, система не будет работать, как ожидается. Так как МСЭ выполняет правила, проверяя их сверху вниз по таблице.
Рисунок 13 – Вид порядка расположения правил
Теперь список будет выглядеть так:
Сначала идут два правила, выделенные зеленым цветом. Эти два правила позволят прохождение ping и DNS для всех пользователей. Затем идут два правила, отмеченных красным цветом, которые позволят только аутентифицированным пользователям воспользоваться FTP-сервисом (с помощью FTP ALG) и всем другим UDP и на основе TCP служб.
5.5.6Так какв сети установлен прокси-сервер, необходимо выполнить несколько дополнительных изменений. Прокси-сервер использует порт 3128, добавьте этот порт в «http-all service», открыв в окне навигатора «Objects», «Services». Порты назначения для всех протоколов HTTP будут 80,443,3128.
5.5.7 Настройте аутентификацию для пользователей
1 Зайдите UserAuthentication, UserAuthenticationRules.
2 Добавьте новое правило User Authentication Rule.
3 Во вкладке General установите параметры, указанные в таблице 5.
Таблица 5 – Параметры для настройки аутентификации пользователей
Name | Agent | Authentication Source | Interface | Originator IP |
lan_http_auth | HTTP | Local | lan | lannet |
4 Во вкладке «Authentication Options» (рисунок 14) установите значение Local User DB: WebUsers.
Рисунок 14 – Расположение Local User DBво вкладке Auth Options
5 Во вкладке «HTTP(S) Agent Options» (рисунок 15) установите Login Type: HTMLForm
Рисунок 15 – Расположение Login Type в HTTP(S) Agent Options
6 Во вкладке Restrictions (рисунок 16) установите значение dle Timeout: 600 seconds. Данное значение означает, что пользователи, которые бездействуют 10 минут (600 секунд) будут автоматически выведены из системы.
Рисунок 16 – Расположение Idle Timeout во вкладке Restrictions
7 Нажмите OК.
8 Сохраните и активизируйте конфигурацию.
Теперь чтобы пользователь из локальной сети lan мог получить доступ в Интернет через браузер, он должен будет пройти на страницу регистрации по адресу 192.168.1.1 и зарегистрироваться.
6 Содержание отчета:
6.1 Название и цель работы.
6.2 Ответы на вопросы по допуску к работе.
6.3 Исследовать принципы конфигурирования межсетевых экранов (МСЭ) серии DFL-800, фирмы D-Link.
6.4 Ответы на контрольные вопросы.
7 Контрольные вопросы:
7.1 Основные характеристики аппаратных межсетевых экранов?
7.2 Что такое аутентификация?
7.3 Что такое и гарантированная полоса пропускания?
7.4 Назначение протоколов SMTP, HTTP/HTTPS, FTP?
7.5 Назначение DHCP, DNS серверов?
7.6 В чем отличие протоколов HTTP и HTTPS?