Настройка SSL VPN с EPS (Endpoint Security) в аппаратных шлюзах серии ZyWALL USG

Как в аппаратном шлюзе серии ZyWALL USG настроить туннель SSL VPN с EPS (Endpoint Security)?


Механизм безопасности конечных точек Endpoint Security (EPS) политики аутентификации (Auth. Policy) предназначен для проверки компьютеров пользователей на соответствие определенным корпоративным политикам, прежде чем они смогут получить доступ к корпоративной сети. Сначала пользователи проходят аутентификацию, а затем происходит проверка операционной системы (операционная система должна соответствовать той, которая указана в правиле EPS) и других требований безопасности (наличие антивируса, брандмауэра) на компьютере пользователя для получения доступа к сети. Можно настроить политику аутентификации, используя несколько объектов безопасности конечных точек, что позволит осуществлять проверку компьютеров с разными операционными системами (Windows, Mac OS, Linux) или настройками безопасности.

Что может проверять Endpoint Security
Параметры безопасности конечной точки могут варьироваться в зависимости от ОС компьютера пользователя. В зависимости от ОС, EPS может проверять следующую информацию:

    • Операционная система (Windows, Linux, Mac OS X или др.);
    • Версия Windows и версия Service Pack;
    • Настройки автоматического обновления Windows Auto Update и установленные обновления безопасности;
    • Наличие брандмауэра и его активация;
    • Наличие антивируса и его активация;
    • Настройки реестра Windows;
    • Размер и версии определенных файлов.

На следующем рисунке показана работа политики аутентификации на ZyWALL, которая требует проверки защиты конечных точек (Endpoint Security). Компьютер A проходит аутентификацию и проверку безопасности конечных точек, и ему предоставляется доступ к сети. Компьютер B проходит аутентификацию, но не проходит контроль безопасности конечных точек, и ему отказано в доступе.

Выполните указанные ниже шаги для настройки туннеля SSL VPN с EPS.

Шаг 1: Зайдите в веб-конфигуратор аппаратного шлюза в меню Configuration > Object > Endpoint Security для создания правила EPS.

Шаг 2: Назначьте правилу EPS имя в поле Object Name, в поле Endpoint Operating System укажите операционную систему (Windows, Linux, Mac OS X или др.) и затем версию операционной системы (в нашем примере используется Windows 7). Затем нажмите кнопку OK для сохранения настройки.



Шаг 3: Зайдите в меню Configuration > SSL VPN и нажмите на кнопку Add для создания нового правила SSL VPN.

Шаг 4: Включите это правило, установив галочку в поле Enable Policy, и в поле Name укажите название.

Шаг 5: Далее нажмите на Create New Object (находится в левом верхнем углу окна) для создания нового объекта (учетной записи), которому будет предоставлен доступ к этому правилу.



Укажите имя пользователя User Name и пароль Password.



Шаг 6: Затем в User/Group выберите созданную учетную запись.



Шаг 7: Установите галочку в поле Enable EPS Сhecking и добавьте предварительно настроенное правило EPS в Selected EPS Objects (в нашем примере это правило window7) в это правило SSL VPN.



Если EPS Сhecking включен, то при попытке подключения пользователя к этому ZyWALL USG через туннель SSL VPN аппаратный шлюз ZyWALL USG будет проверять, совпадает ли операционная система пользовательского компьютера с указанной версией ОС в правиле EPS. Если не совпадает (например, доступ SSL VPN осуществляется с компьютера с Windows 2000), то пользователь не сможет получить доступ к ZyWALL USG.

Шаг 6: Установите галочку в поле Enable Network Extension и определите IP-адреса пользовательских компьютеров (щелкните по Create new Object для создания диапазона частных IP-адресов). Компьютеры пользователей, которые имеют доступ к этому правилу SSL VPN, смогут получить частный IP-адрес (из указанного диапазона) для доступа к Интернету через VPN-подключение.
 


Нажмите кнопку OK для сохранения настроек. 

После создания и сохранения этого правила, пожалуйста, подключитесь к устройству с предварительно установленной учетной записью. В нашем примере IP-адрес устройства: 10.59.1.86.

Шаг 1: Подключитесь к https://10.59.1.86 с предварительно настроенной учетной записью и затем нажмите на кнопку SSL VPN.



1. Используйте правильную ОС (в нашем примере windows 7) для доступа к этому устройству через SSL VPN.
После успешного доступа к этому правилу вы увидите предварительно настроенный сервис Web Link.



Вы получите IP-адрес, который был предустановлен в этом правиле SSL VPN.



2. Если вы используете другую ОС для доступа к этому устройству, то ZyWALL USG покажет следующее сообщение: EPS Check Failure.


Примечание.

Внимание! Если вы хотите настроить правило SSL VPN с EPS для компьютеров с Mac OS, пожалуйста, убедитесь, что JRE (Java version 7) был установлен на Mac.

Для Mac OS версии 10.7/10.8 по умолчанию JRE не установлен в Mac OS. Перейдите по следующей ссылке http://java.com/en/download/manual.jsp для загрузки Java. Устанавливайте Java версии 7, т.к. 64-разрядная версия браузера (например, Safari или Firefox) требует наличия Java 7 в Mac OS X.

Для MacOS версии 10.6 используйте Software Update для обновления версии Java до версии 7.

Убедитесь, что Java включена на MacOS.
Зайдите в Go > Utilities.

Дважды щелкните по значку Java Preferences.

Убедитесь, что установлена галочка в поле Enable applet plug-in and Web Start applications.

Затем убедитесь, что Java включена в браузере Safari.

 

KB-2827

Была ли эта статья полезной?
Пользователи, считающие этот материал полезным: 0 из 0
Еще есть вопросы? Отправить запрос

Комментарии

0 комментариев

Войдите в службу, чтобы оставить комментарий.