我被要求在具有自己的地址块(/24)的网络上设置访问控制/过滤。这适用于将连接到无线网络的学生。要求如下。
- 网站/类别过滤(阻止人们做可疑的事情)
- 出站端口阻止
- 透明(无需更改路由器/子网/等)
- 强制门户(最好接入 AD)
- 记录(至少 1 个月)。
- 流量整形(不是必需的,但很好)
客户希望建立这样的系统,如果他们收到有人从网络访问非法资料的投诉,他们可以通过 IP 地址和日期(至少一个月前)找出是谁。如果这可以通过一个不错的 Web 界面完成,那就更好了。
我们研究过 Untangle,它似乎是最好的选择,但在与他们的支持人员交谈后,似乎有所欠缺。如果系统能记住人们登录的 MAC 地址,这样他们就不必一直登录,那就太好了,但 Untangle 似乎不支持这一点。他们还说 Captive Portal 日志不会保留很长时间(不可能准确),并且在重新启动设备时会丢失。建议的解决方案是使用 SSH 复制它们,然后手动读取日志。不太理想。
有人知道解决办法吗?听起来,要真正追踪几天前在 Untangle 上做事的人非常困难 - 这真的不可接受。肯定有人做过类似的事情吧?
答案1
您可以尝试使用内容过滤器光滑墙- 听起来它确实满足了你所有的需求 - 内容过滤、与 Web 门户登录的 AD 集成、用于端口阻止的防火墙……当然值得与他们讨论你的需求,它是一种商业产品,可能比 untangle 贵一点,但支持是专业的。[偏见警告:我在 Smoothwall 工作]
答案2
您可能想看看 ForeScout,但它的价格可能比 Untangled 贵一点。ForeScout 产品主要是 NAC,但可以配置以满足您描述的要求。
答案3
我们正在实施 Untangle,但使用自定义页面进行登录。这样我就可以通过自定义系统管理用户和其他内容,而不会破坏 Untangle 的未来支持。基本上,Untangle 仅支持最长 24 小时的会话。当他们登录时,另一台服务器上的脚本会将他们添加到不同的 DHCP 池中,该池设置为直通。
这并不是世界上最安全的方法,但对我们来说,还是可以的。
答案4
你应该看看packetfence。几年前我为一所大学实施过,它确实有效。