想要限定企業(yè)網(wǎng)絡(luò)中特定的IP地址或帳戶,才能夠連接Internet網(wǎng)絡(luò),是許多IT單位的管理需求之一。關(guān)于這項需求只要善用內(nèi)置的Captive Portal免費模塊即可做到一半的管理目的。
為何只能夠達到一半的需求呢,這是因為它本身的管理功能,即可做到對于內(nèi)部IP地址以及本地目錄服務(wù)帳戶的驗證,但若想要做到集成第三方目錄服務(wù)的驗證機制,例如許多企業(yè)都在使用的Active Directory,則需要加購Directory Connector模塊才能夠進行連接。
在Active Directory連接器的啟用設(shè)置中,您只要輸入公司目前的域控制器(DC)地址與登錄信息,然后再點擊“Active Directory Test”按鈕并通過連接測試之后,后續(xù)即可正式使用網(wǎng)域賬戶的登錄信息,來決定哪些網(wǎng)域使用者可以連接Internet,甚至于可以只開放特定的時間區(qū)間(如中午12點至1點),讓這些受管理人員可以連接網(wǎng)絡(luò)。
如果您想要同時管理內(nèi)部用戶帳戶對Internet網(wǎng)絡(luò)的訪問,以及從遠程進行VPN網(wǎng)絡(luò)的連接權(quán)限,可以采 用“RADIUS Connector”設(shè)置。此功能的使用若是搭配Windows Server 2008以上版本的網(wǎng)絡(luò)環(huán)境,還必須要預(yù)先準(zhǔn)備一部安裝有NPS(Network Policy Server)角色的服務(wù)器,來開啟RADIUS Server的驗證服務(wù),并且最好是選擇以MS-CHAP V2協(xié)議方法來進行身份驗證。
在此完成設(shè)置之后,同樣可以通過輸入一個用戶賬號,來測試一下看看雙方的連接與驗證機制是否成功。
在成功完成Directory Connector的設(shè)置與測試之后,就可以開啟“Captive Portal”設(shè)置頁面。在“User Authentication”頁面中,只要選取您目前已啟用的目錄連接器即可。
進一步還可以設(shè)置是否允許相同賬號的同時間登錄,以及是否允許采用Cookie功能的驗證連接。在VPN連接用戶驗證功能的部分,除了必須要安裝IPSec VPN模塊外,還必須開啟它的“VPN Config”頁面,來指定使用RADIUS驗證功能才可以。
當(dāng)您使用過許多Untangle的免費模塊之后,覺得它在實際上確實能夠幫助企業(yè)網(wǎng)絡(luò)的安全管理,達到有效的防護作用且運行的效能也當(dāng)滿意時,此時您可能會想要進一步讓此設(shè)備的運作兼具多個WAN的功能以及網(wǎng)絡(luò)流量負載均衡能力,可以考慮加購“WAN Failover”與“WAN Balancer”的模塊,來解決高可用性與高可靠性等的需求面。
本文實戰(zhàn)介紹的這款由Untangle所推出NG Firewall開源軟件,可以讓我們深刻感受到并非得昂貴或名牌的產(chǎn)品,才能夠讓企業(yè)IT獲得最大的投資效益。因為在許多情況下,網(wǎng)絡(luò)的安全與否,其關(guān)鍵在系統(tǒng)管理者是否在日常的營運中,就做好對其監(jiān)視與維護工作,例如有沒有定期的檢視各種流量報告,來了解哪一類的應(yīng)用程序流量在迅速持續(xù)增加中,或是哪些攻擊手法忽然增加等等,藉此來適時調(diào)整各種的安全政策與防護規(guī)則。有了良好的維護操作習(xí)慣并搭配優(yōu)質(zhì)的安全方案,即便是采用了一系列開源軟件,也能夠幫企業(yè)打造出安全無虞的IT運行環(huán)境。