当前位置: 首页 > 系统与网络 > 正文

[分享]ROS中设置定时断网以及白名单

我为啥这么搞…不解释…
在中小型企业应用中,除了专业的防火墙和行为管理设备外,用的比较多的还是ROS了。
有时候,是为了信息安全考虑,也有的时候是作为制度来实施,比如考虑到员工第二天的工作状态。

在ROS环境中,如果是用账号认证(比如pppoe,hotspot)的话,之前有份脚本,在设定的时间到了之后禁用全部账号,使其无法拨号,认证。
不过如果是DHCP分配IP或者设置静态IP来上网的话,只能借助firewall来完成。

从全局考虑,允许白名单内的用户不限时,其他的用户在到达时间后断网,此时发送的数据包全部丢弃。

这边我们设定晚上23点至次日清晨7点是断网时间,周五晚上至周六不断网,周日晚上至周四晚上断网。

限制网段:192.168.2.0/24
限制时间:晚上23点至次日清晨7点是,周五晚上至周六不断网,周日晚上至周四晚上断网
允许地址:192.168.2.3 192.168.2.4

1.首先,在IP-Firewall-Address Lists中添加白名单,比如添加名为 notime-1 的白名单,这里将192.168.2.3-192.168.2.4这两个IP地址加入白名单中。如果要再添加,只需Name一样即可。如图1
ROS-定时断网设置-1

图1

2.因为ROS防火墙功能不支持跨天设定时间,所以我们需要添加2个规则。一个规则是23时:00分:00秒到23时:59分:59秒。另外一个规则是0时0分0秒至6时59分59秒。
①在IP-Firewall-Filter Rulers中点击+号,添加规则。在General中的Src.Address中填入要断网的IP段,这里我们填入192.168.2.0/24。图2
ROS-定时断网设置-2

图2

②切换到Advanced标签中,在Src.Address List列表中旁边的方框勾选,显示!则表示是例外,下拉菜单中选择notime-1列表,该列表中的IP不受此规则的限制。图3
ROS-定时断网设置-3

图3

③切换到Extra标签中,点击Time,会让我们填写时间。首先我们填入的是23时:00分:00秒到23时:59分:59秒,周日-周四都勾选。图4
ROS-定时断网设置-4

图4

④切换到Action标签,在Action的下拉菜单中我们选择drop。最后点击OK,完成第一条断网规则的添加。图5
ROS-定时断网设置-5

图5

 

3.添加0时0分0秒至6时59分59秒的断网规则,步骤如第二步中的①②④,需要变动的则是③,我们勾选周一到周五,时间填入0时0分0秒至6时59分59秒。图6
ROS-定时断网设置-6

图6

 

4.上述也只是限制了IP地址,但是如果网内用户知道了白名单中的IP而设置白名单的IP来上网,此时则需要绑定ARP地址。
在IP-ARP List中,添加用户的IP地址,MAC地址,和接口。图7。
ROS-定时断网设置-7

图7

当然,如果是使用账号认证的方式,也可以在认证中绑定用户的MAC地址。图8
ROS-定时断网设置-8

图8

 

5.在时间未到的时候,防火墙规则中的这两条列表是红色的,当到达设定时段的时候规则自动生效,字体变成黑色以作为区别。图9
ROS-定时断网设置-9

图9

此时,是白名单的用户才能上网,也避免了IP被其他人盗用。当然,如果条件可以,通过交换机来做ACL规则来断网…不过比较麻烦。

 

最后修订:2013-11-17

本文固定链接: http://blog.ich8.com/post/4174 | 霸王硬上弓's Blog

avatar
该日志由 霸王硬上弓 于2013年11月18日发表在 系统与网络 分类下, 你可以发表评论,并在保留原文地址及作者的情况下引用到你的网站或博客。
原创文章转载请注明: [分享]ROS中设置定时断网以及白名单 | 霸王硬上弓's Blog

[分享]ROS中设置定时断网以及白名单:等您坐沙发呢!

发表评论

您必须 [ 登录 ] 才能发表留言!