防火牆管制網路使用權

4、未認證的使用者拒絕連線至 Internet。

5、在已認證期間中，使用者可以不受限制的使用 Internet。

雖然業界有解決方案，但費用太高，所以該實驗室利用開放軟體的 OpenBSD 作業系 統做為身分認證閘道器(Authenticating Gateway)，預設是拒絕所有的對外連線，如圖 3-8，當使者使用 telnet 登入到此身分認證閘道器經過認證後，該身分認證閘道器就產 生一條防火牆規則讓此 Client 電腦可連往 Internet，如圖 3-9，而等使用者將 telnet 登出後，該身分認證閘道器就會把之前產生的防火牆規則給刪除，恢復無法對外連線的 狀態，下次使用者要再連往 Internet 時，得再次 telnet 登入進行認證，如圖 3-10。

# 允許內部網路的電腦連線至認證伺服器 IP (129.128.38.65) pass in quick on fxp0 from any to 129.128.38.65/32

# 網路卡 fxp0 中，拒絕所有的連線 block in on fxp0 from any to any

圖 3 - 8 防火牆禁止連線預設規則

# 電腦 IP 為 129.128.38.100 的認證後，防火牆產生放行規則 pass in quick from 129.128.38.100/32 to any

圖 3 - 9 認證後增加的防火牆規則

圖 3 - 10 Authenticating gateway 圖

此系統雖然方便，但使用者要額外使用 telnet 軟體進行登入認證才有完整的網路 使用權，如果能結合原本的網路操作環境或使用者常用的軟體，如瀏覽器，這樣就更方 便更容易了。

楊有信[24] 在 2008 年時，結合了原本的網路操作環境，設計了一套經微軟 (Microsoft)開發的 Active Directory(AD) 伺服器認證後，即開通防火牆規則讓 Client 電腦可以連往 Internet。為了解決傳統手工 IP 位址與使用者的對應表，和正確 找出惡意使用者假造 IP 位址濫用網路資源，其作法為使用開放軟體的 Linux 作業系統 當防火牆，管控使用者的網路使用權，預設是拒絕所有的對外連線，當使用者登入 AD Server 證認伺服器後，會產生使用者的帳號和 IP 位址等資料，再利用微軟開發的 MSDN API 可以達到存取相關認證資料，即可送往 Linux 的防火牆產生放行規則，讓使用者可 連往 Internet，如圖 3-11。

圖 3 - 11 Binding updates 圖

在 Linux 的防火牆中，IP 位址和使用者的對應部分，是藉由身分認證伺服器的協 助下，動態地紀錄在 Linux 核心中。當使用者連往 Ineternet 有新的連線產生時，系 統則會利用此連線的 IP 位址去查詢在 Linux 核心中的對應關係，找出是誰在使用這個 IP 位址並記錄在此連線中，而等到此連線結束時，則會將此 IP 位址和使用者的對應關 係記錄到系統上供以後使用。

在圖 3-12 中，呈現了系統元件在辨識與過濾檢查過程之間的相互作用：

1、使用者要使用任何 Ineternet 資源之前，必須通過身分的認證。

2、身分認證驗證後，身分認證伺服器會送該使用者的相關訊息給 Information Loader，當 Information Loader 收到訊息後，會設定 IP 位址和使用者的對應 表並送往 Connection Identifier 使用，而在 Linux 核心中則會更新 IP 位址 和使用者對應關係。

3、當使用者連線產生的第一個封包則會送往 Connection Identifier 來識別此 IP 連線的使用者是誰，然後將此封包連線相關訊息送往 Filtering Component 進 行過濾和比對的動作。

4、該連線之後的封包則會直接送往 Filtering Component 做過濾的動作。

圖 3 - 12 Co-operations between system components 圖

因為此系統在原本的網路操作環境中結合網路使用權的認證，確實讓使用者不用額 外再學習如何操作使用，只要依原本操作登入 AD Server 即可完整的使用網路資源，大 大減少管理 IP 位址的維護成本。