如何以用户为基础的原则来管理使用者上网User-Based-DrayTek.PDF

如何 以用戶 為基礎的 原則 來管理使用者 上網 如何 以用戶 為基礎的 原則 來管理使用者 上網 (User-Based Policy) (User-Based Policy) 使用者管理提供路由器三種特徵，驗證、授權與帳戶作為管理依據。透過驗證功能，用戶在輸 入有效的使用者名稱與密碼之前，是不允許透過路由器進入網際網路存取資料。透過授權功 能，可以針對通過驗證的使用者套用不同的防火牆規則。透過帳戶管理功能，可以針對通過驗 證的使用者套用不同的時間額度。 使用者管理(User Management)支援二種模式：規則模式(Rule-Based)與使用者模式 (User-Based) 。 下圖顯示使用者模式(User-Based)的運作方式。 1 本文我們將舉出數例為您介紹以用戶為基準的模式是如何運作的。 注意 ：在使用者模式(User-Based)中，您在防火牆 基本設定 預設規則(Firewall General Default Rule)以及防火牆編輯過濾器規則(Firewall Edit Filter Rule)設定 頁面中，不會看到使用者管理(User Management)這個選項。 範 例 1 範 例 1 假設所有的使用者全都屬於同一個群組： Employees:在這個群組當中，供有三個使用者 Mike 、Tom 以及 Jack 。每個人都有獨立的 帳號且必須通過驗證才能存取網際網路。如果驗證所需的憑證是有效的，該主機便能夠進 入網際網路，否則便會被阻擋在網路之外，直到該使用者輸入正確且有效的驗證憑證。 2 設定 設定 VigorPro 5510 如下： 1. 防火牆規則使用預設值。 2. 開啟使用者管理基本設定 (User Management General Setup)頁面並選擇使用者模 式(User-Based) 。 3. 開啟使用者管理使用者設定檔(Management User Profile) 頁面並設定如下的帳號。 注意: 設定檔名 “admin” 與 “Dial-in User” 為出廠預設值，欲設定新的設定檔，請按 索引編號 3 至 32 ，開啟設定頁面。 3 4. 以帳號 Mike 為例，設定使用者名稱與密碼，並在 Max User Login 欄位中輸入 1 ，代表一 次只能有一個使用者可以使用此帳號。 在使用者模式(User-Based)的模式下，最重要的設定項目就是原則(Policy)的設定，本例 中，所有經過驗證的使用者都允許存取網路，因此套用的原則是預設規則(Default) ，此原 則的設定於防火牆基本設定預設規則(Firewall General Setup Default Rule)頁 面中完成。 Tom 和 Jacky 的使用者設定檔是相同的，請分別為此二個設定檔選擇預設規則(Default) 作為原則(Policy)設定。 4 5. 進入防火牆基本設定 (Firewall General Setup)頁面，選擇通過(Pass) 作為預設動 作，請注意使用者管理(User Management)項目在此頁面並未出現。 5. 按確定 ，此設定檔設定完畢。 利用此一設定檔，任何一個想要存取網際網路的用戶必須使用這三個帳號(Tom, Mike 及 Jacky)中的任何一個帳號，才能通過驗證。 5 範 例 2 範 例 2 假設有三個群組： 伺服器(Servers):您想要給予伺服器永久的網際網路存取權限，不需經過任何驗證就 能進入網路。 員工(Employees):每個員工都有個別的帳號，在進入網際網路的時候，一定要經