notempty
Einrichtung Identity-Based Firewall (IBF) für SSL-VPN
- Bemerkung
- Neue Funktion in 11.8
- Mit der 11.8 ist es möglich Benutzer-Gruppen automatisch als Netzwerkobjekte verfügbar zu machen.
- Diese Funktion ist zunächst mit SSL-VPN-Benutzer-Gruppen möglich.
- Mit der 11.8 ist es möglich Benutzer-Gruppen automatisch als Netzwerkobjekte verfügbar zu machen.
Einführung
Bisher mussten unter Netzwerkobjekte einzelne Hosts oder Netzwerke mit IP-Adresse als Netzwerkobjekte angelegt werden und konnten dann zu Netzwerkgruppen zusammengefügt werden.
Jetzt ist es möglich, Netzwerkobjekte auf Grundlage von Benutzergruppen automatisch zu erstellen und so identitätsbasierte Portfilter-Regeln einzusetzen.
Wenn die Benutzer durch ein AD oder LDAP authentifiziert werden, wird der Verwaltungsaufwand deutlich reduziert.
Gruppen konfigurieren
Dies erfolgt unter Gruppen
Entweder wird eine neu Gruppe erstellt
oder eine bestehende Gruppe wird bearbeitet.Berechtigungen
Gruppenname: Road-Warrior
Eingabe eines aussagekräftigen Namens
- Ein
- Userinterface
- Ein
- SSL-VPN
This is where to configure settings for the SSL VPN for an entire group.
All users share the same certificate when using the group settings!
SSL VPN settings of individual users override the group settings.
Caption: | Value | Description: | UTMuser@firewall.name.fqdnAuthenticationUser |
---|---|---|---|
Client downloadable in the user interface: | No | If enabled, the VPN client can be downloaded in the user interface | |
SSL VPN connection: | RW-Securepoint | Select the preferred connection (created under | )|
Client certificate: | cs-sslvpn-rw(1) | Select the certificate for this group (created under Certificates) It is also possible to use ACME certificates. | Area |
Remote Gateway: | 192.168.175.1 | IP address of the gateway on which the SSL VPN clients dial in. Free input or selection via drop-down menu. | |
Redirect Gateway: | Off | Requests to destinations outside the local network (and thus also the VPN) are usually routed directly to the Internet by the VPN user's gateway. When the On button is activated, the local gateway is redirected to the UTM. This way, these packets also benefit from the protection of the UTM. This setting changes the configuration file for the VPN client. | |
Use in packet filter: | No | By enabling Yes this option, rules for this group can be created in the packet filter. This can be used to control access for users who are members of this group connected via SSL VPN. | |
Portfilter konfigurieren
- Aktiv
- Ein
- Aktion
- (Default)
- Logging
- Gruppe
- Quelle
- Hier kann jetzt die zuvor angelegte SSL-VPN-Gruppe als Netzwerkobjekt direkt ausgewählt werden
- Ziel
Zielnetzwerkobjekt
- Dienst
Auswahl des benötigten Dienstes oder einer Dienstgruppe
Ergebnis
Der angelegte Portfilter ist nun für alle Benutzer gültig, die sich in der Gruppe Road-Warrior befinden.