شناسایی بر اساس کاربر در فایروال FortiGate

شناسایی بر اساس کاربر در فایروال FortiGate، در این مقاله قصد داریم تنظیمات مرتبط با شناسایی بر اساس کاربر و اعمال فیلترینگ در سطح کاربر (User) در فایروال FortiGate را مورد بررسی قرار دهیم.

شناسایی بر اساس کاربر در فایروال FortiGate

فهرست مطالب

1. کاربرد
2. پیاده سازی روش Active

کاربرد 

در فایروال FortiGate کابران، تجهیزات و دستگاه های بسیاری از طریق اینترفیس های فایروال به شبکه متصل می گردند. در مقاله های گذشته در خصوص قابلیت Captive Portal مطالبی را ارائه نمودیم که در این حالت کاربر با وارد کردن نام کاربری و رمز عبور به شبکه دسترسی پیدا می نمود. اما در سازمان ها ممکن است سیاست ها به صورت مجزایی تدوین گردد و نیاز باشد تا تنظیمات و سیاست های خاص به گروهی از کاربران اعمال گردد و یک سیاست به کلیه کاربران شبکه اعمال نگردد. در این شرایط Policy ها را بر اساس گروه ها یا حساب های کاربری ایجاد می نماییم.

به دو روش می توان سیاست ها بر اساس کاربر را پیاده سازی نمود:

• روش Active : در روش فعال کاربر با وارد نمودن نام کاربری و رمز عبور دسترسی پیدا خواهد نمود.
• روش Passive: در این روش احراز هویت کاربر بر اساس نام کاربری و رمز عبوری که در هنگام لاگین نمودن به ویندوز وارد می نماید انجام خواهد گرفت. در این روش یک Agent بر روی اکتیو دایرکتوری نصب می گردد و در این شرایط لاگین های کاربران در سطح Domain مانیتور خواهد گردید و فایروال FortiGate این اطلاعات را از Agent نصب شده بر روی سرور دریافت خواهد نمود.

پیاده سازی روش Active

برای اعمال سیاست های خاص در سطح شبکه توپولوژی زیر را در نظر می گیریم.

در این سناریو قصد داریم کامپیوتر اول با آدرس IP (172.16.1.21) ملزم به وارد نمودن نام کاربری و رمز عبور جهت دسترسی به اینترنت باشد و در عین حال دسترسی کامپیوتر دوم به اینترنت با آدرس IP (172.16.1.23) بدون نام کاربری و رمز عبور انجام پذیرد. برای انجام این کار می بایست یک Policy ایجاد نماییم به همین منظور در منوی فایروال FortiGate بر روی Policy & Objects کلیک و از زیر منوی policy گزینه IPv4 را انتخاب می کنیم و بر روی Create New کلیک می کنیم.

در قسمت Incoming Interface اینترفیس شبکه داخلی را انتخاب می کنیم و سپس Source Address را آدرس 172.16.1.21/255.255.255.255 را تعریف می کنیم تا به صورت خاص به آدرس IP کامپیوتر اول اشاره داشته باشد. قسمت Outgoing Interface را می بایست اینترفیس خروجی که در این سناریو متصل به اینترنت می باشد را مقدار دهی نماییم. به دلیل اینکه قصد داریم اتصال اینترنت داشته باشیم Destination Address را all انتخاب نموده و مابقی گزینه ها را مطابق تصویر زیر مقدار دهی می کنیم. همچنین به دلیل اینکه قصد داریم این کامپیوتر با وارد نمودن نام کاربری و رمز عبور به اینترنت دسترسی پیدا نماید در قسمت Source User(s) می بایست گروه مورد نظر که کاربران به آن اضافه شده اند را انتخاب نماییم.

چنانچه قصد ایجاد حساب کاربری و گروه جدید را دارید با کلیک بر روی Create Users/Groups می توان این کار را انجام داد. همچنین برای ساخت یک حساب در منوی فایروال فورتی گیت گزینه User & Device را انتخاب و از زیر منوی User بر روی User Definition کلیک می نماییم. در پنجره باز شده بر روی Create New کلیک و بر روی Next کلیک می کنیم در مرحله بعدی می بایست نوع حساب کاربری را مشخص نماییم که در اینجا از Local User استفاده شده است. سپس نام کاربری و رمز عبور را وارد نموده و نهایتا اطلاعات ارتباطی نظیر Email را وارد و در نهایت بر روی Create کلیک می نماییم.

اکنون جهت کامپیوتر دوم با آدرس IP (172.16.1.23) نیز مشابه بالا یک Policy ایجاد می نماییم اما این بار در قسمت Source User(s) حساب کاربری را انتخاب نمی کنیم.

با توجه به تنظیمات انجام شده چنانچه در مرورگر کامپیوتر اول قصد اتصال به یک سایت را داشته باشیم می بایست ابتدا نام کاربری و رمز عبور را وارد نماییم تا امکان دسترسی به اینترنت فراهم گردد.

همچنین کامپیوتر دوم با توجه به Policy ایجاد شده بدون نیاز به وارد نمودن نام کاربری و رمز عبور به اینترنت دسترسی خواهد داشت. بنابراین با ایجاد Policy های مختلف و اعمال حساب های کاربری به آن ها می توان الزام احراز هویت را در سیاست های مورد نظر را ایجاد نمود.