Авторизация и разграничение доступа.
|
Авторизация и разграничение доступа. |
|
Задача авторизации и разграничения доступа - это запрет работы в Интернет кому попало и соотнесение трафика конкретному пользователю или службе с целью его учета.
Идентифицировать клиента можно по его сетевым адресам - IP- и MAC-адресу. Этот подход - самый простой, но имеет недостатки. В организации, как правило, нет привязки сотрудника к конкретному компьютеру. На одном компьютере могут работать несколько человек, или они могут работать на разных компьютерах. В варианте домовой сети этот метод мало подходит из-за наличия возможности подмены этих адресов. Его следует использовать только для авторизации серверов во внутренней сети, которые должны работать с Интернет.
Для пользователей следует использовать авторизацию по имени. При работе через прокси-сервер проблем нет - они все поддерживают авторизацию по пользователю. Если используется NAT, то тут необходима отдельная авторизация, при этом надо сообщить серверу доступа, с какого IP-адреса работает клиент.
В Traffic Inspector для авторизации пользователя имеется специальная программа - клиентский агент. Кроме аутентификации эта программа также выполняет ряд других функций - конфигурирует браузер, отображает баланс, с ее помощью клиент может управлять режимами своей работы. Агент имеется только для Windows. Но авторизоваться можно и через прокси- или SOCKS-сервер, что можно использовать при работе на других операционных системах - авторизация таким методом разрешает работу и через NAT. Т.е. тут можно использовать любую программу, например ICQ.
В домовых сетях для решения задачи авторизации также широко используются VPN-соединения или протокол PPPoE. Traffic Inspector позволяет работать с такими клиентами также без проблем. Тут клиент получает фиксированный IP-адрес и можно применить авторизацию по нему.
Для разграничения доступа Traffic Inspector позволяет:
| • | Ограничить доступ к каким-либо ресурсам в Интернет. Это может потребоваться, если политика доступа предусматривает работу только с какими-то конкретными приложениями (например, только электронная почта) и ресурсами (корпоративный сайт). Также можно запретить доступ на какие-либо ресурсы. Traffic Inspector позволяет использовать фильтрацию при работе через NAT и прокси-сервер. Также можно ограничить использование клиентами каких-либо служб программы - например, разрешить работу только через прокси-сервер. Эти политики могут меняться по расписанию или можно задать ограничение по датам. |
| • | Ограничить доступ по расписанию. Например, можно разрешить работать с Интернет сотрудникам только в рабочее время. |
| • | Ограничить доступ по датам. Это удобно для создания временных учетных записей. |
| • | Ограничить скорость работы клиента. Это ограничение также может быть привязано к расписанию или датам. |
| • | Разрешить авторизацию по имени с конкретного IP-адреса. Это может быть полезно для домовой сети. |
| • | При использовании в сети маркировки пакетов тегами VLAN id (IEEE 802.1Q) - разрешить авторизацию и дальнейшую работу только при наличии заданного номера VLAN в Ethernet пакете. |
Текущая страница справки: help.smart-soft.ru/index.html?descauth.htm