多业务安全网关XMG

信锐技术自主研发的信锐锐灵系列多元化、高性能的多业务安全网关设备,集无线控制器、认证服务器、内网终端状态可视化分析系统、流量控制系统、VPN系统、防火墙系统等多种业务于一体。
XMG3.1.2 R1及以下版本
多业务安全网关XMG 文档 功能配置 认证授权 XMG认证授权功能测试指导手册
{{sendMatomoQuery("多业务安全网关XMG","XMG认证授权功能测试指导手册")}}

XMG认证授权功能测试指导手册

更新时间:2024-04-01
  1. 认证授权功能介绍

认证包括无线认证和有线认证:

无线认证支持访客认证(开放式、PSK)和员工认证(PSK、企业认证、web 账户认证) 有线认证包括 IP 认证(开放式) 和 web 账户认证。

角色授权包含访问控制策略和流速限制策略:

访问控制策略可以对服务、应用、网站进行访问控制管理。

流速限制策略可以按照时间对收发速率分别进行限制。

  1. 角色授权

用户角色主要用户分配给无线或有限认证上来的终端来实现网络访问权限的限制。一个 角色可以匹配多条访问控制列表和一条流速限制策略。可以在专家模式下的【认证授权】-【用户角色】中进行设置。

2.1. 访问控制策略

新增访问控制策略中点击添加规则,规则中可以选择控制的类型,控制类型有三种:服 务控制、应用控制、网站控制。

选择服务控制控制之后需要选择对应的服务来进行控制。在使用服务控制时还需要选择 服务的连接方向(例如服务的源目的端口都有可能是固定的,如果源端口固定则可以使用用户接收方向;如果目的端口固定则可以使用用户发起方向)。同一个服务建议配置两条,一 条用户发起方向,一条用户接收方向。

选择用户发起方向则目的 IP 地址可以进行调整;选择用户接收方向则源 IP 地址可以进 行调整。生效时间的设定可以在专家模式【对象定义】-【时间计划】中进行设置。执行动作 有允许和拒绝。

服务是允许用户自定义的,在专家模式下【对象定义】- 【网络服务】中可以点击新增进 行自定义。

控制类型选择应用控制, 需要选择要禁止或者允许的应用。选择匹配那些用 IP 地址 生效。选择策略生效的时间和执行的动作是允许还是拒绝。

应用是允许用户自定义的,在专家模式下【对象定义】- 【网络应用】中可以点击新增应 用进行自定义。

控制类型选择网站控制, 需要选择要禁止或者允许的网站类型。选择匹配那些用户 IP 地址生效。选择策略生效的时间和执行的动作是允许还是拒绝。

网站是允许用户自定义的,在专家模式下【对象定义】- 【网站分类】中可以点击新增进行自定义。

2.2.流速限制策略

流速限制策略中可以设置的参数有策略生效的时间、发送和接收的速率。

发送速率是指终端的发送速率, 即终端的上行速率; 接收速率是指终端的接收速率,即 终端的下行速率。

  1. 认证接入
    1.  无线认证

无线认证分为访客认证和员工认证。访客认证只支持开放式和 PSK 两种认证方式。

员工认证支持 PSK、企业认证、 web 账户认证三种方式。企业认证和 web 账户认证的 账户来源只支持本地用户。

配置 SSID 时可以选择那些 AP 需要发射该 SSID以及 2.4G 频段还是 5G 频段发射该 信号。

 

配置 SSID 的用户 VLAN 时可以使用统一的 VLAN。也可以点击高级规则配置按照不  AP 分组或 AP 分配不同的 VLAN

配置 SSID 的用户角色时可以使用统一的角色。也可以点击高级规则配置按照不同 AP 分组或 AP 分配不同的角色。

配置 SSID 时高级选项中可以做接入控制, 置接入的白名单(仅允许白名单内的终端 MAC 接入)和黑名单(黑名单内的终端 MAC 不允许接入)。也可以做信号的广播设置, 勾选隐藏 SSID 之后终端就无法搜索到该 SSID,需要手动连接。

 

3.2.有线认证

有线认证分为 IP 地址认证和 web 认证。IP 地址认证相当于开放式认证,主要是实现对终端的访问控 制;web 认证也就是账户密码认证,认证的账户来源只支持本地用户。

支持有线认证的接口只有交换机的 LAN 口, 数据经过 LAN 口后并且 IP 地址在适用范围中 IP 地址 范围中的终端都会要求进行认证。例如 XMG3200 旁挂,用户的网关在核心交换机上,那么数据就不会经  XMG3200  LAN 口, 那么就不需要认证。如果 XMG3200 配置了双线路的话 LAN1  口就无法配置有线 认证。

有线认证的角色配置和无线认证类似, 可以使用统一的角色。也可以点击高级规则配置按照 不同 IP 地址或 IP 地址范围分配不同的角色。

说明开启有线认证后 AP 也接在了 XMG3200  LAN 上了, 那么 AP 是否需要认证呢? 实际上是不需 要的。后台对 AP 的特征进行了免认证处理。同时通过 AP 认证上来的用户由于认证信息已经在设备上了。 所以也不需要在进行一遍有线认证。

3.3.相关配置

本地用户信息的配置在专家模式【认证授权】-【本地用户】中进行添加, 最多支持添加

500 个账户, 支持最多 32 个分组。支持账户信息的导入导出、禁用启用。

新增用户时用户名、初始密码和确认密码是必填项。可以选填显示名(终端通过账户认 证上来之后会显示在在线用户上);可强制要求认证后修改账户密码以保障账户安全; 可以 设置账户的过期时间,过期后的账户将无法在使用。

认证页面的配置在专家模式【认证授权】 - 【认证页面】中。使用 web 账户认证的时候 认证页面只支持默认的认证页面,可以设置 logo、浏览器页面标题、页面的部分文字和免责 声明。

MAC 的黑白名设置在专家模式【对象定义】 -MAC 地址库】中。

无线认证或有线认证的 web  认证中可以设置认证后跳转的页面,认证后可以跳转到一开始访问的页 面, 也可以访问到客户想要的 URL。可以设置 MAC 地址库, 将部分 MAC 地址放进 MAC 地址库。在有线 认证中匹配 MAC 地址库,在 MAC 地址库中的终端可以不需要认证直接上网。并且赋予指定的角色。

 

  1. 配置举例

案例说明:

(1) 配置无线认证,Web 认证,要求认证页面修改成客户自己的 logo;禁止访问减低工作效率的应用和 22、 23 端口。

(2) 配置有线认证,无需认证;要求限速下线 10Mbps。

 

配置:

(1) 配置 SSID,设置员工网络, web 认证应用员工角色

(2) 修改 logo 文件。

(3) 配置员工角色,禁止访问减低工作效率的应用和 22 、23 端口。

(4) 配置有线认证,应用有线限速角色

(5)配置有线限速角色,限速下行 10Mbps

  1. 注意事项

(1)无线认证策略和有线认证策略最多支持 8 条。

(2) 旁路模式下不支持基于应用和 URL 的流控。只支持基于服务的访问控制和限速

(3) 旁路模式流量不过 XMG3200 的情况下是不支持有线认证的。