多业务安全网关XMG

信锐技术自主研发的信锐锐灵系列多元化、高性能的多业务安全网关设备,集无线控制器、认证服务器、内网终端状态可视化分析系统、流量控制系统、VPN系统、防火墙系统等多种业务于一体。
XMG3.1.2 R1及以下版本
多业务安全网关XMG 文档 功能配置 智能流控 锐灵访问控制策略配置指导手册
{{sendMatomoQuery("多业务安全网关XMG","锐灵访问控制策略配置指导手册")}}

锐灵访问控制策略配置指导手册

更新时间:2023-12-14

1 功能简介 

信锐锐灵无线控制器主要是基于角色来实现的给用户设置策略的,角色是权限的集合和载体,每一个接入无线网络的用户,锐灵无线控制器可以为每个用户分配不同的角色。

在角色中,可以包含一个或多个访问控制策略,主要定义了用户可以访问网络的各种权限设定。

访问控制策略中,包含一条或多条基于服务或应用的网络访问权限规则,网络访问控制规则中可以设定用户的网络访问权限。类似于普通的状态类防火墙,根据数据的源、目的IP地址和网络服务进行允许和拒绝。

服务/应用 + 方向[用户发起] + 目的地址 + 时间计划 + 动作[允许、拒绝]

接下来我们介绍常见的几种访问控制策略配置。

2 配置步骤 

2.1 禁止访客访问内网 

对于给访客提供的无线网络,一般为了保护内网安全,是会给访客设置禁止访问内网的策略,访客只需要访问外网即可。

1、点击【专家模式】-【认证授权】-【用户角色】-【访问控制策略】新增一个策略。服务选择any表示所有服务都拒绝。

2、【目的地址】中选择私网IP组,该组中包含所有私网的网段,下面的【动作】选择拒绝,这样策略就可以实现禁止访问内网了。(注意:根据实际内网需求设置目的IP组)

注意:如果控制器上自带的私有网络IP组中不包含实际网络中的内网IP范围,需要自行添加地址范围,可以一个IP,也可以是一个IP范围,然后在访问控制策略的目的地址调用即可

3、再添加一条连接方向为用户接收的条目,如下:

最终配置后的访问控制策略条目如下:

4、【认证授权】-【用户角色】-【用户角色】新建一个禁止内网角色并且调用上面配置的策略。

5、【无线管理】-【无线网络】-点开对应的SSID,调用禁止内网角色,这样连接该无线信号的用户匹配了禁止内网角色,禁止访问内网的策略就会生效。

注意:此时可在【系统状态】-【在线用户】中将测试账号注销后,让其重新连接确保角色匹配正确后,再测试策略是否生效。

2.2 禁止内部员工访问某些应用 

一般在上班期间,为了提高员工工作效率,可以通过给无线用户设置访问控制策略禁止访问视频、购物网站等。

  1. 点击【专家模式】-【认证授权】-【用户角色】-【访问控制策略】新增一个策略。选择应用,禁止访问视频流媒体流量。

 

  1. 匹配应用之后,【动作】选择拒绝,【时间计划】可表示生效的时间。此处以全天为例,可根据实际情况添加时间计划。

  1. 【认证授权】-【用户角色】-【用户角色】新增一个禁止访问流媒体角色,调用刚才禁止访问视频的策略。

  1. 【无线管理】-【无线网络】点开对应的SSID,调用禁止访问流媒体角色,这样连接该无线信号的用户匹配了内部员工,禁止访问视频的策略就生效。

2.3 禁止用户访问NAC的某个端口 

限制用户访问控制器/服务器的某个端口,此处以控制器的TCP 443端口为例。

  1. 点击【对象定义】-【网络服务】查看现在控制器已经内置了哪些协议和端口。

  1. 【对象定义】-【IP组】新增IP组,匹配控制器NAC的IP

  1. 点击【认证授权】-【用户角色】-【访问控制策略】新增一个策略。选择服务,调用HTTPS服务

  1. 【认证授权】-【用户角色】-【用户角色】这里新建一个禁止访问NAC443端口的角色并且调用上面配置的策略。

  1. 【无线管理】-【无线网络】-点开对应的SSID,调用禁止访问NAC443端口的角色,这样连接该无线信号的用户匹配了访客角色,禁止访问控制器443端口的策略就会生效。

 注意:此时可在【系统状态】-【在线用户】中将测试账号注销后,让其重新连接确保角色匹配正确后,再测试策略是否生效。