آموزش پیکربندی درگاه اتصال به اینترنت سوفوس (Captive Portal) سوفوس

آموزش Description
  • 1 آبان 1401

درگاه اتصال به اینترنت یا Captive Portal چیست؟

درگاه انحصاری یا Captive Portal صفحه ای برای احراز هویت کاربران جهت استفاده از اینترنت است. این درگاه در فایروال های سوفوس کاربران را ملزم به احراز هویت قبل از استفاده از اینترنت می کنند. از این مزایای این درگاه افزایش امنیت و کنترل بیشتر بر ترافیک وب است.

Captive Portal معمولا شرایطی و قوانینی را برای استفاده از اینترنت قرار می‌دهند که این شرایط باید تایید شوند.استفاده از این درگاه امکان کنترل وضعیت در صورت فعالیت غیرقانونی توسط کاربر را به ادمین شبکه می دهد. همچنین می توان کنترل بیشتری بر روی پهنای باند داشت و حتی مدت زمان اتصال برای کاربران تعیین کرد.

 

صفحه Captive Portal سوفوس
صفحه Captive Portal سوفوس

موارد استفاده

محصولات سوفوس سری XG این امکان را فراهم می­کنند که احراز هویت کاربران از طریق درخواست نام کاربری و گذرواژه در مرورگرشان انجام شود.

فعال سازی Captive Portal در سوفوس

برای بهره ­گیری از این قابلیت مراحل زیر باید انجام شود.

ابتدا به بخش Policies رفته و برای ایجاد یک سیاست جدید بر روی دکمه +Add Firewall Rule کلیک نمایید.

 

فعال سازیCaptive Portal در سوفوسسپس یک User/Network Rule جدید بسازید.

 

نامی برای سیاست خود برگزینید.

در صورت نیاز می توانید توضیحاتی نیز وارد نمایید.

بخش Match rule based on user identity را فعال نموده و در بخش User or Groups، گروه­ها و یا کاربرانی را که می­خواهید از طریق Captive Portal احراز هویت شده و به اینترنت دسترسی داشته باشند انتخاب کنید.

سپس در قسمت Source و در زیرمجموعه Zone، منطقه­ای که کاربران مربوطه در آن قرار دارند و ترافیک آنها از این منطقه وارد دستگاه سوفوس می­شود را انتخاب کنید.

 

در بخش Networks، نشانی IP کاربران مد نظر را وارد کنید.

در بخش Services، می­توانید سرویس­های مورد نیاز کاربران اعم از HTTP، HTTPS و غیره را مشخص نمایید.

 

در بخش Destination نیز می­توانید منطقه (Zone) ای که مقصد درخواست ­ها در آن قرار دارد را انتخاب کنید.

در بخش Networks نیز نشانی مقاصدی که کاربران با آنها در ارتباط هستند را وارد نمایید.

بخش Action را بر روی حالت Accept قرار دهید.

 

بخش Rewrite source address (Masquerading) را فعال نمایید تا برای دسترسی کاربران به اینترنت آدرس نامعتبر آنها با آدرس معتبر موجود بر روی درگاه WAN دستگاه، تغییر یابد.

 

در صورت نیاز می­توانید Malware Scanning را برای پودمان­ های مربوطه فعال نمایید.

 

همچنین می­توانید سیاست­ هایی برای محدود ساختن کابران در نظر بگیرید به عنوان نمونه، در این مثال دسترسی کاربران به Web Mail محدود شده است.

 

 

اگر شما به Log این بخش نیاز دارید می­توانید بخش Log Firewall Traffic را نیز فعال نمایید.

 

در انتها با کلیک بر روی دکمه Save، تنظیمات انجام شده را ذخیره کنید.

حال برای آن که کاربران مربوطه به صفحه احراز هویت از طریق مرورگر و یا به اصطلاح (Captive Portal) هدایت شوند باید Firewall Rule جدیدی با Action، Drop از LAN به WAN ایجاد شود.

توجه داشته باشید، در صورتی که این Firewall Rule ایجاد نشود کاربران به صفحه احراز هویت هدایت نخواهند شد.

تنظیمات این سیاست را مطابق شکل زیر انجام دهید.

 

در انتها سیاست ایجاد شده را ذخیره نمایید.

حال اگر کاربر مورد نظر (در این مثال کاربر u1)، مرورگر خود را باز کند و سایتی را درخواست دهد، با صفحه احراز هویت (صفحه­ایی که در شکل زیر مشاهده می­کنید) روبرو خواهد شد. پس از وارد نمودن نام کاربری و گذرواژه، می­تواند وارد اینترنت شده و از دسترسی خود استفاده نماید.

 

 

کاربران باید توجه داشته باشند، تا زمانی که صفحه احراز هویت Captive Portal باز است می­توانند از اینترنت خود استفاده نمایند و در صورت بستن این صفحه، مجاز به استفاده از اینترنت نخواهند بود و مجدد از آنها نام کاربری و گذرواژه خواسته خواهد شد.

مواردی که در ایجاد دسترسی و احراز هویت از طریق Captive Portal حایز اهمیت است و باید رعایت شود به شرح زیر است.

در زمینه احراز هویت از طریق Captive Portal، DNS نقش به سزایی را ایفا می کند؛ هنگامی که کاربر سایتی را درخواست می دهد سیستم او قبل از ارسال درخواست GET HTTP از طریق DNS شروع به تبدیل نام وارد شده (اسم سایت) به نشانی IP آن خواهد کرد. اگر DNS کاربران را بر روی نشانی­های خارجی نظیر 8.8.8.8 و یا 4.2.2.4 قرار داده باشید سیستم کاربر برای تبدیل، درخواست­های خود را به سوی نشانی­های ذکر شده ارسال خواهد کرد و از آنجا که کاربر مربوطه هنوز احراز هویت نشده درخواست وی پذیرفته نخواهد شد و بنابراین قادر نخواهد بود که صفحه احراز هویت را مشاهده نماید. پس اگر DNS کاربران خود را نشانی­ هایی خارج از شبکه خود قرار داده اید، یک Firewall Rule جدید از LAN به WAN با مشخصات زیر ایجاد نمایید.

Source –> Any, Destination –> Any, Service –> DNS

بخش Rewrite source address (Masquerading) را فعال کرده و این سیاست ایجاد شده را بالاتر از سیاست­های دیگر قرار دهید.

همچنین می­توانید DNS کاربران خود را بر روی آدرس داخلی تجهیزات امنیتی سوفوس XG (LAN IP) قرار داده و با مراجعه به مسیر System > Administration > Device Access،  DNS را مطابق شکل زیر را برای LAN Zone فعال نمایید.

 

بصورت پیش فرض صفحه احراز هویت Captive Portal برای درخواست های HTTP قابل مشاهده است و اگر Home Page مرورگر کاربر بر بروی سایتی با پودمان HTTPS باشد، صفحه مربوط به احراز هویت و یا همان Captive Portal را مشاهده نخواهد کرد و باید درخواست یک صفحه HTTP را دهد.

برای آنکه صفحه احراز هویت (Captive Portal) برای درخواست­های HTTPS نیز قابل مشاهده باشد، باید CA Certificate دستگاه سوفوس سری XG بر روی سیستم های کاربران مورد نظر نصب شود.

شخصی سازی صفحه Captive Portal سوفوس

در فایروال های سوفوس می توان ظاهر و محتوای درگاه انحصاری را سفارشی کرد. به عنوان مثال، می توان لوگوی شرکت و متن سفارشی خود را مشخص کنید.
وارد Configure > Authentication > Web authentication شوید.
در بخش Captive portal appearance می توانید مقادیر دلخواه خود را برای لوگو، رنگ ها، کد HTML صفحه، لیبل فیلدها و … وارد کنید.


در Layout با انتخاب Custom HTML میتوانید به طور کامل HTML، CSS و حتی جاوااسکریپت اختصاصی خود را وارد نمایید فقط به این نکته دقت کنید که محتوا باید داخل تگ قرار داشته باشند.
سپس با کلیک بر روی Preview تغییرات اعمال شده را مشاهده نمایید.

تغییر لوگو captive portal سوفوس

آموزش Details

دیدگاهتان را بنویسید

نشانی ایمیل شما منتشر نخواهد شد. بخش‌های موردنیاز علامت‌گذاری شده‌اند *