- Impresión
- OscuroLigero
- PDF
La diferencia entre política basada en reglas y basada en usuario
Para aplicar diferentes reglas de firewall para diferentes clientes LAN, Vigor proporciona dos métodos, basado en reglas y basado en usuarios. En general, basado en reglas es un método de administración en el que el administrador establece diferentes reglas de firewall para diferentes rangos de IP; y Basado en usuario es un método de administración en el que el administrador establece diferentes reglas para diferentes cuentas de usuario.
Esta nota tendrá 3 partes:
A. Basado en reglas
B. Basado en el usuario
C. ¿Basado en reglas o basado en usuarios?
Antes de saber cómo funciona la administración de políticas basada en reglas/basada en usuarios, expliquemos los tipos de reglas de firewall para ayudar a comprender.
Regla activa: una regla de filtro que está habilitada. En Firewall >> Configuración de filtro , podemos ver que está marcado como Activo. Las reglas activas tienen la primera prioridad: se verificarán todos los paquetes si coinciden con la regla de filtrado.
Regla inactiva: una regla de filtro que NO está habilitada. En Firewall >> Configuración de filtro , podemos ver que NO está marcado como Activo. Si y solo si una regla de filtro está inactiva, se puede configurar como política para una cuenta de usuario.
Regla predeterminada: la regla establecida en la página Firewall >> Configuración general >> Regla predeterminada . En el modo basado en reglas, la regla predeterminada es la regla de firewall a seguir cuando no hay coincidencias de reglas activas. En el modo Basado en usuario, la regla predeterminada no se aplicará a menos que esté configurada como política para una cuenta de usuario.
Basado en reglas
La siguiente figura ilustra cómo funciona el basado en reglas.
Filtro IP de regla activa: al recibir un paquete, verifique si su dirección IP está en el rango de IP de la primera regla activa. En caso afirmativo, aplique la acción de filtro. En caso negativo, pase a la siguiente regla activa. Si la dirección IP no coincide con ninguna regla activa, aplique la regla predeterminada .
Acción de filtro: si la dirección IP está en el rango de IP de una regla activa, hay cuatro acciones de filtro posibles:
Bloquear inmediatamente: descartar el paquete
Bloquear si no hay más coincidencias: verifique el resto de las reglas activas en orden hasta que coincida con una y luego aplique la acción de filtro de esa regla de filtro coincidente. Si no coincide ninguna otra regla activa, descarte el paquete.
Aprobar inmediatamente: Aprobar y aplicar solicitudes.
Pasar si no hay más coincidencias: verifique el resto de las reglas activas en orden hasta que coincida con una y luego aplique la acción de filtro de esa regla de filtro coincidente. Si no hay ninguna otra regla activa que coincida, pase y aplique la acción de filtro.
Aplicación: si la acción del filtro es "pasar", aplique aplicaciones como Gestión de usuarios, Filtro de contenido URL, Filtro de contenido web o filtro DNS, que se pueden configurar para bloquear o pasar contenido específico.
En el modo de base de reglas, el rango de IP desde el que proviene el paquete determina qué regla de firewall se aplicará. Por lo tanto, el administrador puede dividir los clientes de la LAN en varios grupos según su dirección IP y establecer reglas diferentes para cada rango de IP.
Pero, ¿qué pasa si los clientes de LAN a menudo obtienen direcciones IP diferentes y el administrador todavía quiere aplicar una regla específica al cliente de LAN específico? ¡Basado en usuario es la solución!
Basado en usuario
La siguiente figura ilustra cómo funciona User-Base.
Filtro IP de regla activa: al recibir un paquete, verifique si la dirección IP coincide con algún rango de IP de regla activa. En caso afirmativo, siga el procedimiento basado en reglas en la Parte A. En caso negativo, se requerirá autenticación de usuario.
Autenticación de usuario: si ninguna de las reglas activas coincide, solicite autenticación de usuario y aplique la política para esa cuenta de usuario. Luego siga el procedimiento similar al basado en reglas.
Filtro de IP de política: primero, verifique si la dirección IP está en el rango de IP de política. Si no, descarte el paquete. En caso afirmativo, aplique su acción de filtro.
Nota: Si la política está configurada para un rango de IP específico, los usuarios no podrán acceder a Internet si su dirección IP no coincide con la política, incluso si inician sesión con el nombre de usuario y la contraseña correctos.Acción de filtro: si la dirección IP está en el rango de IP de la política, aplique su acción de filtro. Hay dos acciones posibles:
Bloquear inmediatamente/Bloquear si no hay más coincidencias: descartar el paquete
Aprobar inmediatamente/Aprobar si no hay más coincidencias: Aprobar y aplicar solicitudes.
Nota: Dado que cada perfil de usuario solo puede seleccionar una política, Bloquear/Aprobar si no hay más coincidencias tiene el mismo efecto que Bloquear/Aprobar inmediatamente.
Aplicación: si la acción del filtro es "pasar", aplique aplicaciones como Gestión de usuarios, Filtro de contenido URL, Filtro de contenido web o filtro DNS, que se pueden configurar para bloquear o pasar contenido específico.
En el modo Base de usuario, si el paquete no coincide con ninguna regla activa, entonces el cliente LAN necesitará autenticación de usuario para acceder a Internet. El administrador puede establecer diferentes reglas para diferentes cuentas de usuario. Entonces, incluso si los clientes de la LAN a menudo obtienen direcciones IP diferentes, simplemente solicíteles que inicien sesión y aún así tendrán que seguir la política de firewall adjunta a su cuenta de usuario.
Basado en reglas o basado en usuarios
En resumen, Vigor proporciona dos métodos diferentes para la gestión de usuarios. Basado en reglas se basa en la IP del cliente LAN y Basado en usuarios se basa en la cuenta de usuario. Entonces, ¿cómo elegir entre el modo basado en reglas o basado en usuarios?
Para el administrador que está acostumbrado a administrar clientes de LAN por su dirección IP, recomendamos usar el modo basado en reglas. Pero tenga en cuenta que es posible que las reglas del firewall no se apliquen como se esperaba si los clientes de LAN obtienen una dirección IP diferente, por lo que es posible que sea necesario "vincular IP a MAC", configurar direcciones IP estáticas o habilitar múltiples subredes de LAN para diferentes clientes de LAN.
Para los administradores que no desean restringir los clientes de LAN a una dirección IP fija, recomendamos el modo Basado en usuario. De esta manera, la cuenta de usuario con la que inicia sesión el cliente LAN importa más que la dirección IP de la que proviene. Pero tenga en cuenta que con esta configuración, los clientes de la LAN deberán iniciar sesión cada vez que se conecten a Internet, y esto puede resultar un poco inconveniente.