Administración de Usuario respalda dos modos: Basada en Reglas y Basada en Usuario.

Transcripción

1 Cómo utilizar Administración de Usuario con la Política Basada en Reglas Administración de Usuario proporciona al router con característica AAC (Autenticación, Autorización y Contabilidad) (AAA) (Authentication, Authorization and Accounting). Con la función de autenticación de Administración de Usuario, antes de que un nombre de usuario y una contraseña válidos han sido correctamente proporcionados, un cliente en particular no se le permitirá acceder a Internet a través del router. Con la función de autorización de Administración de Usuario, políticas diferentes se pueden aplicar diferente para diferentes usuarios que han superado la fase de autenticación. Con la función de contabilidad de Administración de Usuario, una cuota de tiempo diferente puede ser aplicada para diferentes usuarios que han superado la fase de autenticación. Administración de Usuario respalda dos modos: Basada en Reglas y Basada en Usuario. 1

2 A continuación se muestra cómo funciona la política Basada en Reglas. En este documento tomaremos algunos ejemplos (1 ~ 3) para explicar cómo el modo Basado en Reglas (Rule-Based) funciona. 2

3 En el modo Basado en Reglas, la opción de Administración de Usuario se mostrará en las páginas de configuración Firewall >> General >> Regla Predeterminada y Firewall >> Editar Regla de Filtro (Firewall >> General >> Default Rule and Firewall >> Edit Filter Rule). 3

4 Nota: Administración de Usuario no se mostrará en el modo Basado en Usuario porque la Administración de Usuario Basada en Usuario utiliza diferentes ajustes. 4

5 Ejemplo 1 Empleados: En este grupo hay tres usuarios: Mike, Tom y Jacky. Cada uno tiene una cuenta separada y necesita autenticar para el acceso a Internet. Si la credencial de autenticación es válida, entonces el anfitrión puede acceder a Internet. De lo contrario el anfitrión se bloqueará de la red hasta que el usuario introduzca una credencial de autenticación válida. Configuración Tome VigorPro 5510 como ejemplo y configure como sigue: 1. Ir a la página de Administración de Usuario >> Configuración General (User Management >> General Setup) y seleccione Basada en Reglas (Rule-Based). 2. Ir a la página de Administración de Usuario >> Perfil usuario (User Management >> User Profile) y configure las siguientes cuentas. 5

6 3. Tome la cuenta de Mike, por ejemplo. Establezca el nombre de usuario y contraseña. Asegúrese de que la Sesión de Usuario Max es 1 (Max User Login is 1) entonces sólo un usuario puede utilizar esta cuenta a la vez. 4. Ir a la página Firewall >> Configuración General >> Regla por Defecto (Firewall >> General Setup>>Default Rule) y seleccione Pass como la acción predeterminada. Seleccionar todo para Administración de Usuario (All for User Management). 5. La configuración para el perfil está completa. 6

7 Con esta configuración, cualquier usuario que desee acceder a Internet tiene que pasar la autenticación mediante el uso de una de las cuentas de "Tom", "Mike" y "Jacky". Ejemplo 2 Supongamos que hay tres grupos: Servidores: Usted quiere dar acceso permanente a Internet a los servidores. No necesitan autenticarse para acceder a Internet. Empleados: Cada empleado tiene una cuenta separada y necesita autenticarse para acceso a Internet. En este ejemplo, hay tres usuarios (Mike, Tom y Jacky) pertenecientes al mismo grupo. Huéspedes: Todos los huéspedes comparten la misma cuenta y necesitan autenticarse para acceder a Internet. A Otros usuarios no se les permite acceder a Internet. Las direcciones IP utilizadas en el ejemplo se enumeran a continuación: Servidores: Empleados: , , invitados: ~ Configuración Tome VigorPro 5510 como ejemplo y configure de la siguiente manera: 1. Ir a la página de configuración de Administración de Usuarios >> General (User Management >> General Setup) y seleccione Basada en Reglas (Rule-Based). 7

8 2. Ir a la página de Administración de Usuario >> Perfil de Usuario (User Management >> User Profile) y configure las siguientes cuentas. 3. Tome la cuenta de Mike, como ejemplo. Configure el nombre de usuario y contraseña. Asegúrese de que la Sesión del usuario Max es modo 1 entonces sólo un usuario puede utilizar esta cuenta a la vez. Para la cuenta de Huéspedes, Configure la Sesión de usuario Max a 0 lo que significa que varios usuarios pueden utilizar esta cuenta, al mismo tiempo. 8

9 4. Ir a la página de Administración de Usuario >> Grupo de usuario (User Management >> User Group). Añada a Tom, Mike y Jacky a un grupo con el nombre de Empleados. 9

10 5. Ir a la página de Firewall >> Configuración General >> Regla por Defecto (Firewall >> General Setup >> Default Rule) y seleccione Bloquear (Block) como la acción predeterminada. No seleccione alguna cuenta de Administración usuarios aquí ya que Administración de Usuario no funciona cuando la acción se establece con Bloquear. 10

11 6. Ir a la página Firewall >> Configuración >> Editar Ajuste de Filtro (Firewall >> Filter Setup >> Edit Filter Set) y configure las siguientes reglas. 11

12 7. Configure la regla de Para el servidor. Ninguna cuenta está seleccionada para la Administración de Usuario. Así que todo el tráfico que coincida con esta regla no necesita la autenticación para el acceso a Internet. Con tal configuración, (IP para el servidor) siempre se puede acceder a Internet sin necesidad de autenticación. 12

13 8. Configure la regla de Para empleados. Grupo 1 para el empleado se selecciona para la Administración de Usuario. Cualquier tráfico que coincida con ésta regla requiere autenticación para acceso a Internet. Con esta configuración, el tráfico con origen dirección IP , y concuerdan con esta regla. Para acceder a Internet, los usuarios que utilizan las direcciones IP deben autenticar con la cuenta de Tom, Mike ó Jacky. Sin autenticación, los paquetes serán descartados. 13

14 9. Configure la regla de Para huésped (For guest). Objeto 6 para huésped se ha seleccionado para la Administración de Usuario. Todo el tráfico que cumpla la regla requiere autenticación para acceso a Internet. Con esta configuración, el tráfico con origen de direcciones IP desde a coincide con esta regla. Para acceder a Internet, los huéspedes que utilizan las direcciones IP deben autenticarse utilizando la cuenta Huéspedes (Guests). 10. La configuración para el perfil está completa. Con esta configuración, el tráfico que no coincide con la regla del filtro 2 (para el servidor) ~ 4 (para huésped) coincidirán con la regla predeterminada en el paso 4. Dado que la acción es "Bloquear", el tráfico se descarta. 14

15 Ejemplo 3 Supongamos que hay tres grupos: Servidores: Usted quiere dar acceso permanente a Internet a los servidores. No necesitan autenticarse para acceder a Internet. Empleados: Cada empleado tiene una cuenta separada y necesita autenticar solamente el acceso VPN. El acceso a Internet no necesita autenticación. En este ejemplo, hay tres usuarios (Mike, Tom y Jacky) que pertenecen a este grupo. Huéspedes: Todos los huéspedes comparten la misma cuenta y necesitan autenticar el acceso a Internet. No se les permite acceder VPN. Otros usuarios no se les permite acceder a Internet y VPN. Las direcciones IP utilizadas en el ejemplo se enumeran a continuación: Servidores: Empleados: , , Huéspedes: ~

16 Configuración Configure VigorPro 5510 como sigue: 1. Ir a la página Administración de Usuario >> Ajuste General (User Management >> General Setup) y seleccione Basada en Reglas (Rule-Based). 2. Ir a la página de Administración de Usuario >> Perfil de Usuario (User Management >> User Profile) y establezca de las siguientes cuentas. Tome la cuenta de Mike, como ejemplo. Configure el nombre de usuario y contraseña. Asegúrese de que la Sesión del Usuario Max es 1 para que sólo un usuario pueda utilizar esta cuenta a la vez. Para la cuenta de Huéspedes, establezca la Sesión de usuario Max a 0 lo que significa que varios usuarios pueden utilizar esta cuenta, al mismo tiempo. 16

17 17

18 3. Ir a la página de Administración de Usuario >> Grupo Usuario (User Management >> User Group). Añada Tom, Mike y Jacky a un grupo con el nombre de Empleados (Employees). 18

19 4. Ir a la página Firewall >>Configuración General >> Regla por Defecto (Firewall >> General Setup >> Default Rule) y seleccione Bloquear (Block) como la acción predeterminada. No seleccione alguna cuenta de la Administración de usuarios aquí ya que la administración de usuario no funciona cuando la acción se establece con Bloquear (Block). 5. Ir a Firewall >> Ajuste de Filtro >> Editar Ajuste de Filtro Firewall >> (Filter Setup >> Edit Filter Set) y configure las siguientes reglas. 19

20 6. Configure la regla de Para Servidor. Ninguna cuenta está seleccionada para Administrador de Usuario. Así que cualquier tráfico que coincida con esta regla no necesita autenticación para acceso a Internet. Con tal configuración, (IP del servidor) siempre se puede acceder a Internet sin necesidad de autenticación. Tenga en cuenta que Cualquier (Any) IP de destino (Destination IP) seleccionado significa que redes VPN remotos están incluidos. Por lo tanto, (servidor) también puede acceder a VPN sin autenticación. 20

21 7. Configure la regla de Para Empleados. G1 - Empleados está seleccionado para Administración de Usuarios. Todo el tráfico que coincide con ésta regla requiere autenticación para el acceso VPN. Tenga en cuenta que cualquier seleccionado en Origen IP (Source IP) significa: Cualquier tráfico hacia /24 coincidirá con esta regla. Debe utilizar las cuentas establecidas en "G1 - empleado" para autenticación para acceso VPN. A pesar de que los huéspedes coinciden con esta regla, no pueden acceder a la VPN, ya que no tienen las cuentas. 21

22 8. Configure la regla de Personal, Internet (Staff, Internet). Establezca Ninguno (None) para Administración de Usuario. Cualquier tráfico que coincida con esta regla no necesita autenticación para acceso a Internet. Con esta configuración, el tráfico con origen de direcciones IP desde a coincide con esta regla. 22

23 9. Configure la regla de Para Huéspedes (For guests). Objeto 6 de huésped se ha seleccionado para Administración de Usuario. Cualquier tráfico que coincida con ésta regla requiere una autenticación para acceso a Internet. Con esta configuración, el tráfico de origen con direcciones IP desde a coincide con esta regla. Para acceder a Internet, los huéspedes que utilizan ésas direcciones IP deben autenticarse utilizando la cuenta Huéspedes (Guests). 10. La configuración para el perfil está completa. 23