Организация доступа в Интернет

Методы аутентификации

NPS AV поддерживает множество методов аутентификации. Это означает, что вы сможете выбрать метод, который более всего подходит для вашей инфраструктуры.

• аутентификация по локальной базе
• Kerberos
• NTLM
• LDAP
• RADIUS
• Аутентификация по ваучерам для Captive Portal
• Аутентификация в Wi-Fi сети по СМС (SMS Portal)
• Двухфакторная авторизация пользователей
• Смешанная аутентификация (привязка к IP/MAC-адресам)

Метод Локальная база использует базу пользователей, хранящуюся на самом устройстве NPS AV.

Методы LDAP и Kerberos используются при наличии в сети развернутой службы каталогов (чаще всего Active Directory от Microsoft).

При этом метод Kerberos обеспечивает аутентификацию в стиле Single Sign On. При Single Sign On аутентификации, пользователь вводит логин / пароль лишь однажды, при логине в операционную систему; последующая аутентификация на веб-прокси происходит прозрачно и полностью автоматически.

В NPS AV реализован функционал смешанной аутентификации. Смысл смешанной аутентификации заключается в том, что в настройках NPS AV аккаунт пользователя привязывается к определенному IP-адресу или MAC-адресу. Пользователю нужно авторизоваться не только с правильным логином / паролем, но и с разрешенного IP/MAC-адреса.

Двухфакторная аутентификация — расширенная аутентификация, в рамках которой пользователю для получения доступа необходимо предъявить не только свой логин и пароль, но и дополнительный пин-код. Двухфакторная аутентификация позволяет защитить аккаунт надежнее, чем традиционный пароль.

Регистрация пользователей по ваучерам доступна при использовании функционала Captive Portal.

Смешанная аутентификация обеспечивает совмещение одного из поддерживаемых типов аутентификации с дополнительной привязкой к IP-адресу и MAC-адресу.

Кластер высокой доступности

В режиме аппаратной избыточности несколько серверов NPS AV добавляются в кластер. Все устройства кластера разделяют один и тот же IP-адрес. В каждый момент времени, только одно устройство (мастер) обрабатывает весь трафик пользователей. Подчиненные устройства постоянно синхронизируют свое состояние с мастер-устройством. Если мастер устройство выходит из строя, его подменяет одно их подчиненных устройств, которое само становится мастером. Новый мастер способен прозрачно подхватить и продолжить обработку сетевых потоков от клиентов. Данная технология обеспечивает непрерывность доступа к сети Интернет. Функционал кластеризации реализован за счет ряда технологий: протоколы CARP (VRRP), PFSYNC (синхронизация состояния межсетевых экранов), XMLRPC Sync (синхронизация прочих настроек шлюза).

Connection Failover

DOS может работать с несколькими каналами подключения к Интернет. Для этих каналов можно настроить режим Connection Failover. В данном режиме шлюз переключается на запасные каналы доступа в Интернет при выходе из строя основных, обеспечивая тем самым непрерывность доступа.

Шейпер / приоритезация трафика (ipfw + dummynet)

Всем знакома ситуация, когда один пользователь может занять весь Интернет-канал всего лишь запустив приложение вроде BitTorrent-клиента. Для решения данной проблемы в NPS AV есть функционал шейпера трафика. Шейпер обеспечивает наиболее востребованные виды шейпирования:

• ограничение максимальной скорости работы пользователя
• резервирование выделенной полосы для трафика
• распределение пропускной способности Интернет-канала поровну между пользователями внутренней сети
• приоритезация трафика приложения с помощью очередей для трафика критичного к задержкам

VPN-сервер

VPN-сети позволяют настроить конфиденциальное взаимодействие между географически разнесенными сетями или обеспечить шифрованное подключение удаленных пользователей к офису. NPS AV поддерживает наиболее популярные технологии VPN:

• OpenVPN
• IPsec в туннельном режиме
• L2TP/IPsec (IPSec в транспортном режиме)
• Tinc VPN
• PPTP
• PPPoE

Система централизованного управления

Central Management System – система централизованного управления распределенной инфраструктурой сетевых шлюзов NPS AV. В рамках инфраструктуры, шлюз NPS AV может выполнять одну из двух ролей: Мастер-узел (master node) – шлюз NPS AV, устанавливаемый в центральном офисе учреждения. Мастер-узел позволяет осуществлять централизованное администрирование, диагностику и сбор данных с сетевых шлюзов, расположенных в удаленных офисах. Подчиненный узел (slave node) – шлюз NPS AV, устанавливаемый в каждом из удаленных офисов учреждения. Подчиненный узел получает свои настройки от назначенного мастер-узла. Подчиненный узел полностью контролирует и защищает сетевое взаимодействие между компьютерами удаленного офиса и сетью Интернет. Сетевое взаимодействие между мастер-узлом и подчиненным узлом осуществляется по защищенным соединениям. После настройки инфраструктуры, администратор может инициировать передачу настроек на выбранный подчиненный узел и получать диагностические сообщения с подчиненных узлов.