Авторизация и разграничение доступа.

Previous pageReturn to chapter overviewNext page

 

 Задача авторизации и разграничения доступа - это запрет работы в Интернет кому попало и соотнесение трафика конкретному пользователю или службе с целью его учета.

 

 Идентифицировать клиента можно по его сетевым адресам - IP- и MAC-адресу. Этот подход - самый простой, но имеет недостатки. В организации, как правило, нет привязки сотрудника к конкретному компьютеру. На одном компьютере могут работать несколько человек, или они могут работать на разных компьютерах. В варианте домовой сети этот метод мало подходит из-за наличия возможности подмены этих адресов. Его следует использовать только для авторизации серверов во внутренней сети, которые должны работать с Интернет.

 

 Для пользователей следует использовать авторизацию по имени. При работе через прокси-сервер проблем нет - они все поддерживают авторизацию по пользователю. Если используется NAT, то тут необходима отдельная авторизация, при этом надо сообщить серверу доступа, с какого IP-адреса работает клиент.

 

 В Traffic Inspector для авторизации пользователя имеется специальная программа - клиентский агент. Кроме аутентификации эта программа также выполняет ряд других функций - конфигурирует браузер, отображает баланс, с ее помощью клиент может управлять режимами своей работы. Агент имеется только для Windows. Но авторизоваться можно и через прокси- или SOCKS-сервер, что можно использовать при работе на других операционных системах - авторизация таким методом разрешает работу и через NAT. Т.е. тут можно использовать любую программу, например ICQ.

 

 В домовых сетях для решения задачи авторизации также широко используются VPN-соединения или протокол PPPoE. Traffic Inspector позволяет работать с такими клиентами также без проблем. Тут клиент получает фиксированный IP-адрес и можно применить авторизацию по нему.

 

 Для разграничения доступа Traffic Inspector позволяет:

 

Ограничить доступ к каким-либо ресурсам в Интернет. Это может потребоваться, если политика доступа предусматривает работу только с какими-то конкретными приложениями (например, только электронная почта) и ресурсами (корпоративный сайт). Также можно запретить доступ на какие-либо ресурсы. Traffic Inspector позволяет использовать фильтрацию при работе через NAT и прокси-сервер. Также можно ограничить использование клиентами каких-либо служб программы - например, разрешить работу только через прокси-сервер. Эти политики могут меняться по расписанию или можно задать ограничение по датам.
Ограничить доступ по расписанию. Например, можно разрешить работать с Интернет сотрудникам только в рабочее время.
Ограничить доступ по датам. Это удобно для создания временных учетных записей.
Ограничить скорость работы клиента. Это ограничение также может быть привязано к расписанию или датам.
Разрешить авторизацию по имени с конкретного IP-адреса. Это может быть полезно для домовой сети.
При использовании в сети маркировки пакетов тегами VLAN id (IEEE 802.1Q) - разрешить авторизацию и дальнейшую работу только при наличии заданного номера VLAN в Ethernet пакете.

 

 

 


Текущая страница справки: help.smart-soft.ru/index.html?descauth.htm

Сайт разработчиков Traffic Inspector