更新时间:2023-12-14
1 功能简介
信锐锐灵无线控制器主要是基于角色来实现的给用户设置策略的,角色是权限的集合和载体,每一个接入无线网络的用户,锐灵无线控制器可以为每个用户分配不同的角色。
在角色中,可以包含一个或多个访问控制策略,主要定义了用户可以访问网络的各种权限设定。
访问控制策略中,包含一条或多条基于服务或应用的网络访问权限规则,网络访问控制规则中可以设定用户的网络访问权限。类似于普通的状态类防火墙,根据数据的源、目的IP地址和网络服务进行允许和拒绝。
服务/应用 + 方向[用户发起] + 目的地址 + 时间计划 + 动作[允许、拒绝]
接下来我们介绍常见的几种访问控制策略配置。
2 配置步骤
2.1 禁止访客访问内网
对于给访客提供的无线网络,一般为了保护内网安全,是会给访客设置禁止访问内网的策略,访客只需要访问外网即可。
1、点击【专家模式】-【认证授权】-【用户角色】-【访问控制策略】新增一个策略。服务选择any表示所有服务都拒绝。
2、【目的地址】中选择私网IP组,该组中包含所有私网的网段,下面的【动作】选择拒绝,这样策略就可以实现禁止访问内网了。(注意:根据实际内网需求设置目的IP组)
注意:如果控制器上自带的私有网络IP组中不包含实际网络中的内网IP范围,需要自行添加地址范围,可以一个IP,也可以是一个IP范围,然后在访问控制策略的目的地址调用即可
3、再添加一条连接方向为用户接收的条目,如下:
最终配置后的访问控制策略条目如下:
4、【认证授权】-【用户角色】-【用户角色】新建一个禁止内网角色并且调用上面配置的策略。
5、【无线管理】-【无线网络】-点开对应的SSID,调用禁止内网角色,这样连接该无线信号的用户匹配了禁止内网角色,禁止访问内网的策略就会生效。
注意:此时可在【系统状态】-【在线用户】中将测试账号注销后,让其重新连接确保角色匹配正确后,再测试策略是否生效。
2.2 禁止内部员工访问某些应用
一般在上班期间,为了提高员工工作效率,可以通过给无线用户设置访问控制策略禁止访问视频、购物网站等。
- 点击【专家模式】-【认证授权】-【用户角色】-【访问控制策略】新增一个策略。选择应用,禁止访问视频流媒体流量。
- 匹配应用之后,【动作】选择拒绝,【时间计划】可表示生效的时间。此处以全天为例,可根据实际情况添加时间计划。
- 【认证授权】-【用户角色】-【用户角色】新增一个禁止访问流媒体角色,调用刚才禁止访问视频的策略。
- 【无线管理】-【无线网络】点开对应的SSID,调用禁止访问流媒体角色,这样连接该无线信号的用户匹配了内部员工,禁止访问视频的策略就生效。
2.3 禁止用户访问NAC的某个端口
限制用户访问控制器/服务器的某个端口,此处以控制器的TCP 443端口为例。
- 点击【对象定义】-【网络服务】查看现在控制器已经内置了哪些协议和端口。
- 【对象定义】-【IP组】新增IP组,匹配控制器NAC的IP
- 点击【认证授权】-【用户角色】-【访问控制策略】新增一个策略。选择服务,调用HTTPS服务
- 【认证授权】-【用户角色】-【用户角色】这里新建一个禁止访问NAC443端口的角色并且调用上面配置的策略。
- 【无线管理】-【无线网络】-点开对应的SSID,调用禁止访问NAC443端口的角色,这样连接该无线信号的用户匹配了访客角色,禁止访问控制器443端口的策略就会生效。
注意:此时可在【系统状态】-【在线用户】中将测试账号注销后,让其重新连接确保角色匹配正确后,再测试策略是否生效。