NetdefendOS_2.27.01_Firewall_User_Manual_RUS
NetdefendOS_2.27.01_Firewall_User_Manual_RUS
NetdefendOS_2.27.01_Firewall_User_Manual_RUS
Create successful ePaper yourself
Turn your PDF publications into a flip-book with our unique Google optimized e-Paper software.
6. Система NetDefendOS подтверждает правильность информации с помощью источника<br />
аутентификации, прописанного в правиле аутентификации. Это может быть локальная база<br />
данных системы NetDefendOS, внешняя база данных сервера RADIUS или внешний LDAPсервер.<br />
7. Система NetDefendOS разрешает дальнейшее прохождение трафика через соединение, т.к.<br />
процесс аутентификации прошел успешно и запрашиваемый сервис разрешен правилом из<br />
набора IP-правил. Объект «сеть источника», записанный в правиле, может иметь либо<br />
активированную опцию No Defined Credentials (Отсутствие определенной учетной записи),<br />
либо сеть источника может быть связана с группой и пользователем, являющимся членом этой<br />
группы.<br />
8. Если в правиле определено допустимое время простоя соединения, то в случае если соединение с<br />
аутентифицированным пользователем не активно в течение установленного периода, оно будет<br />
автоматически прервано.<br />
Все пакеты с IP-адреса, не прошедшего аутентификацию, отбрасываются.<br />
8.2.7. Пример использования группы аутентификации<br />
Чтобы проиллюстрировать использование групп аутентификации возьмем группу пользователей,<br />
которые регистрируются из сети 192.168.1.0/24 подключенной на lan интерфейсе. Требуется<br />
ограничить доступ к сети с именем important_net на int интерфейсе, разрешив доступ к ней только<br />
одной группе проверенных (trusted) пользователей. В то же время группе других пользователей,<br />
которые не пользуются доверием (untrusted), разрешить доступ к другой сети с именем regular_net на<br />
dmz интерфейсе.<br />
Для выполнения задания в качестве источника аутентификации будем использовать внутреннюю<br />
базу данных, куда внесем пользователей с соответствующими именами, паролями и специальной<br />
строкой для группового параметра (Group). Часть пользователей отнесем к группе trusted, часть – к<br />
группе untrusted.<br />
Определяем два IP-объекта для одной сети 192.168.1.0/24. Первый IP-объект назовем untrusted_net.<br />
Он имеет значение параметра группировки untrusted. Другому IP-объекту присвоим имя trusted_net и<br />
значение параметра группировки trusted.<br />
Последним этапом будет определение набора IP-правил, так как это показано ниже:<br />
360