【防火墙 pfsense】3 portal

（1）应该考虑的问题：
->HTTPS 连接的干扰问题：HTTPS 是一种旨在防止恶意第三方截取和篡改流量的协议。但强制门户的工作原理是截取并改变终端用户与网络之间的连接。这对于 HTTP 流量来说不是问题，但使用 HTTPS 加密的网站会检测到有人在截取连接，并会生成一个不受信任的连接警告。当访问使用 HTTPS 的网站时，这种强制门户可能会产生误报。这些误报往往会让强制门户的用户习惯忽略这些警告，这当然是非常糟糕的，因为他们可能会因此忽略真正的中间人攻击。
->设备兼容性问题：另一个问题是，强制门户使用网页进行身份验证，这使得它们不适合那些没有网络浏览器的设备。这可能会给这类设备的用户带来困扰。即使设备有网络浏览器，通常也需要用户访问浏览器后，强制门户页面才会显示出来。
->浏览器缓存问题：使用强制门户的网络可能会给使用缓存的浏览器带来问题。例如，一个连接到使用强制门户的网络的用户，在该网络中 URL 被重定向到身份验证页面，他们可能会发现即使在断开与强制门户网络的连接后，浏览器仍然会重定向到那个页面。在某些情况下，解决这个问题的唯一方法是清除浏览器缓存。
->用户体验不佳问题：最后，有人认为强制门户对用户不友好 —— 它们首先迫使终端用户经历一系列繁琐的步骤才能连接到网络，而且如果对强制门户设置了时间限制或数据限制，用户常常可能不得不再次经历这些繁琐的步骤。许多企业正是因为这个原因关闭了强制门户。
(2) 身份验证
->如果选择 “无身份验证”，强制门户用户将不会被要求输入用户名、密码或凭证代码 —— 通常情况下，最多会要求他们接受网络的服务条款。
->“本地用户管理器 / 凭证” 适用于 pfSense 处理身份验证的情况。系统会提示用户输入之前已录入 pfSense 用户管理器中的用户名 / 密码组合，或者提示用户输入由 pfSense 生成的凭证代码。
->对于 “RADIUS 身份验证”，身份验证将由外部 RADIUS 服务器完成。
(3)强制门户的一些配置
->最大并发连接数:此设置控制的不是可以登录到强制门户的用户数量，而是每个 IP 地址允许的并发连接数。
->“空闲超时（分钟）” 和 “硬超时（分钟）”。“空闲超时（分钟）” 控制着一个空闲客户端在断开连接之前的等待时长，而 “硬超时（分钟）” 则控制着即使客户端处于活动状态，在断开连接之前的等待时长。
-> “流量配额（兆字节）”。顾名思义，此设置对强制门户用户能够使用的数据量设置了限制，包括上传和下载的数据量。当用户达到这个限制后，他们将被断开连接。不过，他们可以立即重新登录。
-> “每个 MAC 地址的免认证通过次数” ,在此处输入一个数字，允许客户端在不被引导至强制门户页面的情况下，免认证通过强制门户指定的次数。一旦超过这个次数，用户将再次被引导至强制门户登录页面。