Как запретить подключение к сети чужих компьютеров в USG 60

Настройки
Alegu
Alegu Публикаций: 1
отредактировано октября 2023 Раздел: Техническая поддержка

Доброго времени суток! 

У нас имееся роутер Zyxel USG 60. В настоящее время имеется проблема с
несанкционированным подключением компьтеров к нашей локальной сети.
Пользователи могут принести свои личные компьютеры или роутеры и
подключать их к нашей корпоративнй сети. Я ищу способ закрыть эту
возможность. Я попытался настроить фильтрацию по связке
IP-MAC. Делал по инструкции найденной мной в базе знаний на сайте Zyxel.
Это не помогло — новые устройства продолжают подключаться и получать
настройки для авторизации в нашей сети и выхода  в интернет. Помогите пожалуйста решить проблему. Возможно существует еще какой-то способ решить эту проблему? Очень буду благодарен за помощь и советы!

All Replies

  • [Deleted User]
    [Deleted User] Публикаций: 0  Zyxel Employee
    First Anniversary 10 Comments First Answer
    Настройки

    Добрый день!

    Есть несколько вариантов решения данной проблемы с помощью шлюза USG60. Пока предложу два варианта:

    1)Изолировать сеть, к которой имеют свободный доступ для подключения сетевые устройства, от корпоративной сети. Для этого понадобиться использовать хотя бы два интерфейса (например, интерфесы LAN1/LAN2/VLAN/DMZ и т.д.). Допустим, LAN1 оставить для корпоративной сети, а LAN2 для всех остальных. В политиках безопасности на USG60 в качетсве зоны источника установите зону, в которой находится интерфейс LAN2 и разрешите ей только выход в Интернет(зону интерфейса WAN) или иную, в зависимости от ваших требований. Для LAN1 дайте полный доступ (в зону Any(Excluding Zywall)).

    image.png

    2)Если изолировать не получится и требуется использовать один интерфейс для всех устройств, то используйте правило обязательной аутентификации для доступа в локальную сеть USG60. Для этого создайте один или несколько локальных аккаутнов на USG60 в разделе Object⇒ User Group по типу User и включите обязательную аутентификацию в разделе Web Autentification по примеру:

    -Incoming Interface: общая локальная сеть в которую попадают все пользователи:

    image.png

    Устрйоства без аутентификации не получат доступа в локальную сеть шлюза.

    Лучший вариант настройки - совместить оба способа так как, обычно, не всегда есть возможность аутентифицировать некоторые локальные устройства.

    Для упрощения способа аутентификации можете использовать ваш AD/RADIUS сервер. Сообщите, если понадобиться помощь в их настройке на USG60.

Разделы

Центр Помощи Zyxel

EnglishTiếng ViệtРусскийไทย中文(台灣)