首頁 > 客戶服務 > FAQ >企業防護資安產品相關問題

如何使用排程表及群組來限制用戶上網?

2012/12/27

Q1:我想在星期一至星期五早上9:00-12:00,星期一至星期五下午13:30-18:00 禁止所有用戶使用網路聯外,但可以使用e-mail收信及寄信且需要在星期一至星期五12:00-13:30,星期一至星期五18:00-隔天9:00,星期六日可以使用網路,不知排程表及管制條例如何設定?

 

管制條例的寫法有如程式語言,主要是由位址表,排程表及服務表這幾個元件來完成.

以 MH1000 為例,

 

Step1.先設定排程表, 請到 --> 管制條例選項 > 排程表 > 設定:


Schedule_morning :星期一至星期五早上9:00-12:00
Schedule_afternoon:星期一至星期五下午13:30-18:00

 

Step2.設定欲管制開放的服務群組 , 請到 -->管制條例選項 > 服務表 > 服務群組 :


Allowed_service : SMTP(送 Mail) ,POP3 (收 Mail),DNS(網域名稱解析)

 

Step3.設定內至外管制條例 , 請到 -->管制條例 > 內部至外部 :

 

第 1 條:
來源網路位址 Inside_Any
目的網路位址 Outside_Any
服務名稱 Allowed_service
管制動作,外部網路埠 允許,所有外部網路介面
自動排程 Schedule_morning

 

第 2 條:
來源網路位址 Inside_Any
目的網路位址 Outside_Any
服務名稱 Allowed_service
管制動作,外部網路埠 允許,所有外部網路介面
自動排程 Schedule_afternoon

 

第 3 條:
來源網路位址 Inside_Any
目的網路位址 Outside_Any
服務名稱 ANY
管制動作,外部網路埠 拒絕
自動排程 Schedule_morning

 

第 4 條:
來源網路位址 Inside_Any
目的網路位址 Outside_Any
服務名稱 ANY
管制動作,外部網路埠 拒絕
自動排程 Schedule_afternoon

 

第 5 條:
來源網路位址 Inside_Any
目的網路位址 Outside_Any
服務名稱 ANY
管制動作,外部網路埠 允許,所有外部網路介面
自動排程 None

 

管制條例的順序是由第一條依序往下執行的,所以順序不可以任意調換!


 


類似案例:
 

Q2:同上例,但限定對象僅員工,主管不受限制!

 

此例可以使用上述管制概念配合"位址表"及"群組" 應用.

 

設定步驟如下:

1.設定"位址表"->"內部網路",以建立每一用戶的基本資料:
名稱:emp1
IP : 192.168.1.101
子網路遮罩:255.255.255.255 (單一台電腦要使用 4 個 255)
MAC 位址 :填入使用電腦的網卡卡號
從防火牆取得固定IP位址 ->勾選

 

名稱:emp2
IP : 192.168.1.102
子網路遮罩:255.255.255.255 (單一台電腦要使用 4 個 255)
MAC 位址 :填入使用電腦的網卡卡號
從防火牆取得固定IP位址 ->勾選

 

依序建立員工 emp3.......emp xx 記錄及主管mgr1,mger2......記錄.

 

2.設定"位址表"->"內部網路群組",以建立員工及主管群組資料.
Employee :emp1,emp2......
Manager :mgr1,mgr2.......
All :Employee + Manager

 

3.設定內至外管制條例:
將上例管制條例 1~4 條
來源網路位址 Inside_Any 改為 Employee

 

將上例管制條例 5 條


來源網路位址 Inside_Any 改為 All ,


這樣可以避免員工自行更改其他未使用 IP 來避開管制.

 


 

Q3:使用MH1000的機型,如果不想讓沒有設定在位置表裡面的內部網路裡面的IP上網該怎麼設定呢?

 

管制條例的使用如同寫程式般, 而且由上往下執行.因此你需要寫一個這樣的 Policy

 

IF Source Address = Group1 then Accept to access internet , Else Drop it !! 而 Group1 就始你所允許的所有 IP 位址 .

 

於 MH1000 內至外管制條例的寫法是 ==>

 

此例可以使用管制概念配合"位址表"及"群組" 應用.

 

設定步驟如下:

 

1.設定"位址表"->"內部網路",以建立每一用戶的基本資料:
名稱emp1
IP : 192.168.1.101
子網路遮罩:255.255.255.255 (單一台電腦要使用 4 個 255)
MAC 位址 :填入使用電腦的網卡卡號 ( 看你要不要鎖定網卡, 以避免用戶自行更改 IP )
從防火牆取得固定IP位址 ->勾選 (如果用戶的 IP 是透過 DHCP 自動取得,則勾選)

 

名稱:emp2
IP : 192.168.1.102
子網路遮罩:255.255.255.255 (單一台電腦要使用 4 個 255)
MAC 位址 :填入使用電腦的網卡卡號
從防火牆取得固定IP位址 ->勾選

依序建立員工 emp3.......emp xx 記錄.

 

2.設定"位址表"->"內部網路群組",以建立員工群組資料.
Employee :emp1,emp2......

 


3.設定內至外管制條例:

 

第一條 :
來源網路位址 Employee
目的網路位址 Outside_Any
服務名稱 ANY
管制動作,外部網路埠 允許,所有外部網路介面


只要一條管制這樣就可以完成你所需要的 Policy !
任何員工只要更改 IP , 就會無法上網, 因為防火牆會檢查每一用戶的 IP 及卡號是否你所指定的!!

 


千萬不要多加其他管制條, 例如 ==>

來源網路位址 Inside_Any
目的網路位址 Outside_Any
服務名稱 ANY
管制動作,外部網路埠 允許,所有外部網路介面

這樣會造成上一條例管制失效!!

AboCom. Copyright©2012 www.aboway.com.tw All Rights Reserved.

聯絡我們