集成3rd账户验证服务

想要限定企业网络中特定的IP地址或帐户，才能够连接Internet网络，是许多IT单位的管理需求之一。关于这项需求只要善用内置的Captive Portal免费模块即可做到一半的管理目的。

为何只能够达到一半的需求呢，这是因为它本身的管理功能，即可做到对于内部IP地址以及本地目录服务帐户的验证，但若想要做到集成第三方目录服务的验证机制，例如许多企业都在使用的Active Directory，则需要加购Directory Connector模块才能够进行连接。

在Active Directory连接器的启用设置中，您只要输入公司目前的域控制器（DC）地址与登录信息，然后再点击“Active Directory Test”按钮并通过连接测试之后，后续即可正式使用网域账户的登录信息，来决定哪些网域使用者可以连接Internet，甚至于可以只开放特定的时间区间(如中午12点至1点)，让这些受管理人员可以连接网络。

如果您想要同时管理内部用户帐户对Internet网络的访问，以及从远程进行VPN网络的连接权限，可以采 用“RADIUS Connector”设置。此功能的使用若是搭配Windows Server 2008以上版本的网络环境，还必须要预先准备一部安装有NPS（Network Policy Server）角色的服务器，来开启RADIUS Server的验证服务，并且最好是选择以MS-CHAP V2协议方法来进行身份验证。

在此完成设置之后，同样可以通过输入一个用户账号，来测试一下看看双方的连接与验证机制是否成功。

在成功完成Directory Connector的设置与测试之后，就可以开启“Captive Portal”设置页面。在“User Authentication”页面中，只要选取您目前已启用的目录连接器即可。

进一步还可以设置是否允许相同账号的同时间登录，以及是否允许采用Cookie功能的验证连接。在VPN连接用户验证功能的部分，除了必须要安装IPSec VPN模块外，还必须开启它的“VPN Config”页面，来指定使用RADIUS验证功能才可以。

当您使用过许多Untangle的免费模块之后，觉得它在实际上确实能够帮助企业网络的安全管理，达到有效的防护作用且运行的效能也当满意时，此时您可能会想要进一步让此设备的运作兼具多个WAN的功能以及网络流量负载均衡能力，可以考虑加购“WAN Failover”与“WAN Balancer”的模块，来解决高可用性与高可靠性等的需求面。

结语：

本文实战介绍的这款由Untangle所推出NG Firewall开源软件，可以让我们深刻感受到并非得昂贵或名牌的产品，才能够让企业IT获得最大的投资效益。因为在许多情况下，网络的安全与否，其关键在系统管理者是否在日常的营运中，就做好对其监视与维护工作，例如有没有定期的检视各种流量报告，来了解哪一类的应用程序流量在迅速持续增加中，或是哪些攻击手法忽然增加等等，藉此来适时调整各种的安全政策与防护规则。有了良好的维护操作习惯并搭配优质的安全方案，即便是采用了一系列开源软件，也能够帮企业打造出安全无虞的IT运行环境。