Конфигуриране на удостоверяване на Juniper SRX

WiFi

WiFi

juniper

Настройване на удостоверяване на оборудване Juniper SRX

Значителното нарастване на функционалността на съвременните мобилни устройства с едновременно увеличаване на тяхната наличност разкрива големи възможности за гъвкав бизнес. Ето защо не е изненадващо, че при изграждането на ИТ инфраструктурата на една компания, вземането под внимание на концепцията за BYOD (Bring Your Own Device) става индустриален стандарт.

В същото време е важно не само да се осигури висококачествена Wi-Fi инфраструктура, която може ефективно да обслужва мобилни устройства с ниска мощност, но и да се решат проблемите със сигурността по качествен начин.

Осигуряването на удостоверяване на потребителя е едно от тях. Необходимо е да се удостоверяват точно потребителите (а не конкретно устройство), с възможност за прилагане на различни политики към тях в зависимост от входната точка на мрежата. В същото време удостоверяването не трябва да създава неудобства за потребителите и ненужни главоболия за администраторите. Оборудването Juniper Networks SRX ви позволява да разрешите този проблем гъвкаво и без участието на инструменти на трети страни (но ако желаете, можете също да свържете услуги на трети страни - поддържат се RADIUS, LDAP и SecurID). В днешната статия ще ви покажем как да го направите.

Като начало е необходимо да се анализира съществуващата / планирана инфраструктура и да се раздели на зони, в рамките на които ще се използват хомогенни политики за сигурност. Да предположим, че в нашия случай изглежда така:

juniper

[редактиране на зони за сигурност]

адрес --IP_телефони-- X.X.X.X/маска;

Сега трябва да зададете правила за транзитен трафик между зоните (по подразбиране той не се предава, но местният трафик в зоната е разрешен); трябва да се помни, че SRX използва препращане, базирано на потока, т.е. политиката не описва изричнопредаван трафик, но възможност за отваряне на сесия за предаването му.

Нека политиките бъдат описани по следния начин:

Работна група -> Serv е разрешен за целия трафик;

Работна група -> Управление - само snmp;

Работна група -> Интернет & WiFi целият трафик е забранен - ​​ние просто не описваме политиката.

WiFi -> Интернет ftp и http трафикът е разрешен (въпросът за уеб филтрирането не ни интересува днес);

WiFi -> Управление - само snmp;

WiFi -> Serv - разрешен е само трафик към ftp и мейл сървъри;

WiFi -> Работна група - трафикът е забранен - ​​не описваме политиката;

Целият изходящ трафик е разрешен от зоната за управление;

От интернет зоната всичко е забранено - ние не описваме политиката.

Като пример ще дам конфигурация на политика за WiFi зона: