类别:ROS / 日期:2021-03-08 / 浏览:1179 / 评论:0
在中小型企业应用中,除了专业的防火墙和行为管理设备外,用的比较多的还是ROS了。
有时候,是为了信息安全考虑,也有的时候是作为制度来实施,比如考虑到员工第二天的工作状态。
在ROS环境中,如果是用账号认证(比如pppoe,hotspot)的话,之前有份脚本,在设定的时间到了之后禁用全部账号,使其无法拨号,认证。
不过如果是DHCP分配IP或者设置静态IP来上网的话,只能借助firewall来完成。
从全局考虑,允许白名单内的用户不限时,其他的用户在到达时间后断网,此时发送的数据包全部丢弃。
这边我们设定晚上23点至次日清晨7点是断网时间,周五晚上至周六不断网,周日晚上至周四晚上断网。
限制网段:192.168.2.0/24
限制时间:晚上23点至次日清晨7点是,周五晚上至周六不断网,周日晚上至周四晚上断网
允许地址:192.168.2.3 192.168.2.4
1.首先,在IP-Firewall-Address Lists中添加白名单,比如添加名为 notime-1 的白名单,这里将192.168.2.3-192.168.2.4这两个IP地址加入白名单中。如果要再添加,只需Name一样即可。如图1
2.因为ROS防火墙功能不支持跨天设定时间,所以我们需要添加2个规则。一个规则是23时:00分:00秒到23时:59分:59秒。另外一个规则是0时0分0秒至6时59分59秒。
①在IP-Firewall-Filter Rulers中点击+号,添加规则。在General中的Src.Address中填入要断网的IP段,这里我们填入192.168.2.0/24。图2
②切换到Advanced标签中,在Src.Address List列表中旁边的方框勾选,显示!则表示是例外,下拉菜单中选择notime-1列表,该列表中的IP不受此规则的限制。图3
切换到Extra标签中,点击Time,会让我们填写时间。首先我们填入的是23时:00分:00秒到23时:59分:59秒,周日-周四都勾选。图4
④切换到Action标签,在Action的下拉菜单中我们选择drop。最后点击OK,完成第一条断网规则的添加。图5
3.添加0时0分0秒至6时59分59秒的断网规则,步骤如第二步中的①②④,需要变动的则是③,我们勾选周一到周五,时间填入0时0分0秒至6时59分59秒。图6
4.上述也只是限制了IP地址,但是如果网内用户知道了白名单中的IP而设置白名单的IP来上网,此时则需要绑定ARP地址。
在IP-ARP List中,添加用户的IP地址,MAC地址,和接口。图7。
当然,如果是使用账号认证的方式,也可以在认证中绑定用户的MAC地址。图8
5.在时间未到的时候,防火墙规则中的这两条列表是红色的,当到达设定时段的时候规则自动生效,字体变成黑色以作为区别。图9
此时,是白名单的用户才能上网,也避免了IP被其他人盗用。当然,如果条件可以,通过交换机来做ACL规则来断网…不过比较麻烦。