NetdefendOS_2.27.01_Firewall_User_Manual_RUS
NetdefendOS_2.27.01_Firewall_User_Manual_RUS
NetdefendOS_2.27.01_Firewall_User_Manual_RUS
Create successful ePaper yourself
Turn your PDF publications into a flip-book with our unique Google optimized e-Paper software.
# Действие Интерфейс<br />
источника<br />
Сеть<br />
источника<br />
Интерфейс<br />
назначения<br />
Сеть<br />
назначения<br />
Сервис<br />
1 Allow lan trusted_net int important_net All<br />
2 Allow lan untrusted_net dmz regular_net All<br />
Если группе пользователей trusted необходимо предоставить доступ к сети regular_net, то следует<br />
добавить третье правило:<br />
# Действие Интерфейс<br />
источника<br />
Сеть<br />
источника<br />
Интерфейс<br />
назначения<br />
Сеть<br />
назначения<br />
Сервис<br />
1 Allow lan trusted_net int important_net All<br />
2 Allow lan trusted_net dmz regular_net All<br />
3 Allow int untrusted_net dmz regular_net All<br />
8.2.8. HTTP-аутентификация<br />
Если пользователи обмениваются информацией через WEB-браузер, используя протокол HTTP, то<br />
аутентификация может быть выполнена с помощью HTML-страниц. Этот способ аутентификации<br />
называют WebAuth.<br />
Изменение порта управления WebUI<br />
HTTP-аутентификация некорректно работает при одновременном запуске с сервисом удаленного<br />
управления WebUI, который также использует TCP-порт 80. Чтобы избежать коллизий, номер порта<br />
для WebUI должен быть изменен до конфигурирования аутентификации. Сделать это можно, если<br />
перейти на вкладку Remote Management > advanced settings на WebUI и изменить настройку порта<br />
WebUI HTTP Port. Вместо 80 порта здесь можно использовать порт 81.<br />
Опции агента<br />
Для HTTP- и HTTPS-аутентификации в правилах аутентификации существует набор опций, которые<br />
называются опциями агента (Agent Options). Среди них:<br />
• Тип регистрации (Login Type).<br />
а) FORM – пользователь заполняет поля данных на специальной HTML-странице для<br />
аутентификации, и информация отсылается NetDefendOS с помощью функции POST.<br />
б) BASICAUTH – при этом типе регистрации браузеру отправляется сообщение «401 –<br />
Authentication Required», которое вызывает встроенный диалог с запросом имени<br />
пользователя и пароля. Дополнительно в диалоге браузера может быть определена строка<br />
Realm String.<br />
Тип регистрации FORM более предпочтителен, чем BASICAUTH, потому что в некоторых<br />
случаях браузер может сохранять регистрационные данные в кэше.<br />
• Если агент определяется для HTTPS, то корневой сертификат и сертификат хоста<br />
выбираются из списка сертификатов, загруженных в систему NetDefendOS.<br />
Настройка IP-правил<br />
HTTP-аутентификация не может осуществляться, пока правило, разрешающее аутентификацию, не<br />
будет добавлено в набор IP-правил. Рассмотрим пример, в котором несколько клиентов локальной<br />
сети lannet пытается получить доступ к сети Интернет через WAN-интерфейс. Тогда набор IP-правил<br />
должен быть следующим:<br />
# Действие Интерфейс<br />
источника<br />
Сеть<br />
источника<br />
Интерфейс<br />
назначения<br />
Сеть<br />
назначения<br />
Сервис<br />
1 Allow lan lannet core lan_ip http-all<br />
2 NAT lan trusted_users wan all-nets http-all<br />
3 NAT lan lannet wan all-nets dns-all<br />
Первое правило разрешает процесс аутентификации и подразумевает, что клиент пытается получить<br />
доступ к IP-адресу lan_ip, который является IP-адресом интерфейса межсетевого экрана NetDefend,<br />
на котором подключена локальная сеть.<br />
361