開源 Endian 多用途防火牆實戰 功能強操作易的開源 UTM

HTTP Proxy 整合 LDAP 驗證

EFW 的 HTTP Proxy 支援以使用者與群組的 Access Policy 設置,只是針對這一項功能需求,在實務上通常不會是選擇以 EFW 本地的使用者或群組,而是採用 LDAP 的驗證機制,像是連接 Linux 系統中的 LDAP Service,或是 Windows Server 的 Active Directory,其次還有 IBM Domino 的 LDAP Service 以及 Novell 的 eDirectory。如此一來上網的用戶端人員,也就不必再去記住第二組的帳密,而 EFW 系統管理人員,也不必去維護一個新的人員帳戶資料庫了。上述幾種 LDAP 身分驗證機制在 EFW 都是支援的,接下來筆者將以如何結合 Active Directory 的驗證功能為例說明。點選至 HTTP Proxy 後,開啟 Authentication 頁面。在 Choose Authentication Method 欄中建議選取 LDAP (v2,v3,Novell eDirectory,AD)。接著開始設定 Active Directory。筆者的網域的名稱是 lab03.com,因此先在 LDAP Server 輸入 Domain Controller 伺服器的 IP 位址,在 Bind DN settings 欄位中輸入 DC=lab03, DC=com,在 Bind DN username 欄位中輸入 CN=Administrator, CN=Users,DC=lab03,DC=com。在 Port of LDAP Server 欄位中請輸入 LDAP Port(預設是 389)。在 LDAP type 選取 Active Directory Server,在 Bind DN password 欄位中輸入網域 Administrator 的密碼,點選 Save 完成(圖22)。

圖22:整合 LDAP 驗證設置。
圖22:整合 LDAP 驗證設置。

在 Access Policy 頁面的 Authentication 欄位,可以選擇挑選 User based 或 Group based。接下來只要前面步驟中的 LDAP 驗證連線設定正確,就可以在 Allowed Users 清單中,選取所要驗證的使用者或群組。在 Time restrictions 的區域中,可決定是否要啟用與設定存取的時間限制。例如可以設定僅開放每周五的上班時間,才能夠進行 Internet 網站的存取。最後在 Access Policy 欄位,決定根據上述的條件設定是要允許存取 (Allow access),還是拒絕存取 (Deny access)。完成後,未來如果只是暫時不套用此設定,只要取消勾選 Enable Policy Rule 即可(圖23)。

圖23:存取政策設置。
圖23:存取政策設置。

完成了 HTTP Proxy 中的 Authentication 與 Access Policy 設定後,就可測試一下 LDAP 對使用者限制。當用戶端使用者,以一個未經授權的帳戶上網時,便會出現如圖所示的 ERROR 頁面訊息,這表示該名人員在這個時間是無法連線上網的(圖24)。

圖24:拒絕 Internet 存取。
圖24:拒絕 Internet 存取。

網站連線篩選設置

現在我們可以來假設一個情境,也就是讓某一位使用者雖然可以上網站,但卻無法開啟任何的 Web Mail 網站,像是 Google Mail、Yahoo Mail、Outlook.com 等等,該怎麼做呢? 這時候我們就得善用 Web Filter 功能了。在 Web Filter,選擇自動更新 URL Filter 的週期,此設定關係到未來所能使用的篩選類型與規則。接著便可以點選 Add new Profile 超連結來新增 Web Filter rule(圖25)。在 Add a Profile 有各種的 URL Filter 分類,包括了針對 Web Mail、討論區、聊天室、多媒體、遊戲、運動、旅遊、購物等等的篩選設定,在此筆者點選了禁止連線 Web Mail網站(圖26)。在 Custom black and whitelists 區域中,則可以新增例外的白名單或黑名單(圖27)。在此筆者新增了一個 Outlook.com 的網址至白名單之中。完成儲存之後,未來同樣可以繼續新增、刪除或是修改任何一個 Web Filter 規則設定,或暫時停用某 Web Filter 規則。

圖25:網站連線篩選管理。
圖25:網站連線篩選管理。

 

圖26:篩選設置。
圖26:篩選設置。

 

圖27:黑白名單設置。
圖27:黑白名單設置。

新增 Web Filter 規則後,必須回到 Proxy 頁面,修改曾建立過的 Proxy 設定。請在 Filter Profile 欄位中,選取所要關聯的 Web Filter 規則並完成儲存(圖28)。接下來可以來測試一下剛剛所套用的 Web Filter 規則是否已經生效,首先開啟 Outlook.com,發現是可以正常連線與登入的。但連線至 mail.google.com 網址時,便直接出現了「無法顯示此網頁」的錯誤訊息了,上述的用戶端測試,顯示前面所建立 Web Filter 規則已經生效(圖29)。

圖28:修改 HTTP proxy 設置。
圖28:修改 HTTP proxy 設置。

 

圖29:無法連線 Web Mail。
圖29:無法連線 Web Mail。

發佈留言

發佈留言必須填寫的電子郵件地址不會公開。