Сообщения: 595
Благодарности: 5
|
Профиль
|
Отправить PM
| Цитировать
Сделал, но еще больше в непонятках. Появились вопросы. Если не трудно, поясните пожалуйста, что я сделал неверно.
Ноут, не принадлежащий ЛВС, в свойствах сетевого интерфейса стоит IP 192.168.0.75, маска, шлюз - адрес сервера с ИСОЙ, днс - тот же адрес что и ИСА. В Свойствах подключения обозревателя http прокси поставил имя сервера ИСЫ, порт 80.
1.
Опишу по шагам:
Исходные данные: сервер на Вин 2003, на нем ИСА 2006, АД, ДНС. На ИСЕ в свойствах внутренней сети:
-диапазон адресов: 192.168.0.0-192.168.0.255 (все машины ЛВС лежат в этом диапазоне),
-доменные имена: *.firma.local
-напрямую обращаться к след.серверам и доменам - *.firma.local
-автообнаружение отключено (на всех машинах стоит FWC, вручную внесен имя сервера ИСЫ
-включена поддержка FWC, стоит галка Использовать сервер вэб-прокси
-включено подключение клиентов вэб-прокси для данной сети, HTTP 80
-проверка подлинности - встроенная.
НА ИСЕ создал разрешающее правило: ноут (внес в ису ip ноута)-внешняя, HTTP, Все пользователи.
При запросе вэб-страниц все открывает. Норма. Но хочется немного подстраховаться. Если в указанном выше правиле ставлю определенного пользователя, то интернет на ноуте не идет, запроса пароля нет.
Хотелось бы, чтобы пользователь подключившись к сети, мог "ходить" по сети (локальной) только введя имя пользователя и пароль. Так же при подключении к интернету происходила авторизация. Это нужно для безопасности и контроля трафика. А то любой может прийти со своей техникой, вбить настройки и работать в интернете.
2. Клиенты ЛВС ходят в инет только с использованием FWC - какие настройки во внешней сети поставить в закладках FWC и Вэб-прокси. Что сейчас стоит я описал выше.
3. Для клиентов гостей, вроде описанного выше случая с ноутом, создаю еще одну внутреннюю сеть, прописываю диапазон 192.168.0.70-192.168.0.80, остальные настройки идентичны первой Внутренней сети. Но интернет в этом случае не работает на ноуте - госте. Более того в Наблюдении-Ведении журнала я не вижу запросов с 192.168.0.75. Хочу чтобы настроки для клиентов домена были одни, а клиентов-гостей - другие.
4. Создано правило для системных протоколов (типа 53 порта) - стоит Все пользователи. Если ставлю Все прошедшие проверку пользователи - сеть становится недоступной. Для чего нужен Все прошедшие проверку пользователи?
Для пользователей домена в ИСЕ созданы персональные правила для выхода в инет, и правило для работы сети (типа 53 порта) для Все пользователи.
Подскажите, пожадуйста, где я ошибся и как нужно правильно.
Спасибо что уделили внимание проблеме.
|