巧用PacketFence阻止非法网络访问(3)

　　你要做的第一件事是收集网络上任何设备的MAC地址(除计算机之外的支持网络的设备，如路由器、网络打印机、交换机等)。你可能需要手动注册这些设备。为此，你需要像下面这样使用/usr/local/pf/bin/pfcmd这个命令：

　　要确保对每一个设备使用一个独一无二的名字。如此一来这个设备就会被注册并且可以访问。

　　现在任何一台试图访问外部网络的计算机会在注册屏幕上发现自己，如图1：

　　你可以通过PacketFence的Web管理工具来配置Acceptable Use Policy(可接受的使用策略)。

　　用户们将必须从下拉列表中选择认证类型。在我们例子中，用户会将选择“本地(Local)”。在用户们这样做时(并且选择register(注册)),就会看到类似于下图的一个登录屏幕：

　　不过，请记住:管理员最好不要作为注册用户。

　　一旦用户输入了一个非法的用户名/口令组合，用户将被要求允许系统扫描漏洞。在警告屏幕中，用户们必须按下“Scan(扫描)”按钮来允许系统扫描。一旦扫描成功，用户将会收到一个注册成功(Registration Successful)屏幕，类似于下图。

　　即使注册成功，用户还要按下“Complete Registration(完成注册)”按钮来启用网络访问。

　　一旦用户按下了“Complete Registration(完成注册)”按钮，就会看到一个屏幕告诉用户网络访问已经启用。而看到这个屏幕，也就意味着用户是“良民”，可以进入网络。

　　进一步的配置

　　使用基于Web的管理工具来使PacketFence的配置更上一层是很聪明的选择。为了访问此功能，可以将你的浏览器指向https://IP_OF_PacketFence_SERVER:1443，然后你将使用在安装期间创建的管理员口令。从这里，你可以精细地调整PacketFence的安装。

　　结束语

　　最后，我们要说开源的PacketFence做到了许多需要花费大量金钱才能使用的应用程序功能。在这其中，许多商业化的解决方案并不如PacketFence那样容易配置。虽然PacketFence在配置和安装方面也有一些不如人意的地方，但是笔者认为，如果你正在寻找网络安全的另外一层，那么它确实值得你一试。