[netscreen] 시간대별로 정책적용하기

      [netscreen] 시간대별로 정책적용하기에 댓글 3개

▶ 비업무용 싸이트를 block하는 정책을 만들다
업무시간에  직원들이 업무에만 집중할수있도록  비업무용 사이트를 block하는 정책을 만들게되었습니다.
해당 부서의 부서장님의 요청으로 작업에 들어가게되었습니다.

1. block할 사이트를 URL에 근거해서 막기로 했습니다.
IP를 근거로 block하면 향후 관리가 어렵기때문에 피했습니다.
set address “Untrust” “block_url_cyworld” cyworld.com
set address “Untrust” “block_url_cyworld.co.kr” cyworld.co.kr

2. 향후 block할 사이트가 늘어날 경우를 대비하여 G_Block_url 그룹을 만들어 소속시켰습니다.
set group address “Untrust” “G_Block_url”
set group address “Untrust” “G_Block_url” add “block_url_cyworld”
set group address “Untrust” “G_Block_url” add “block_url_cyworld.co.kr”

3. 내부 네트웍(local_NET)에서 G_Block-url로 접근하는것을 block하는 정책을 만들었습니다.
set policy top from “Trust” to “Untrust”  “local_NET” “G_Block_url” “ANY” deny log

▶ 넷스크린이 바라보는 DNS서버를 확인하다.
그런데 말이죠.. 연락해서 알아보니 실제론 싸이미니홈피가 block이 안된다고 하더군요…  이론… ㅠㅠ
url기반의 block정책이 유효하지않다면. 그것은 장비가 올바른 DNS서버를 바라보고있지않다는 말이죠..
즉시 장비세팅의 dns관련 부분을 조회해봤더니 역시나 dns설정이 안되어있습니다.
그래서 KT dns를 바라보도록 세팅해습니다.
set dns host dns1 168.126.63.1
set dns host dns2 168.126.63.2

▶ 시간대를 지정해서 정한 시간대에만 Block되도록 수정하다.
그런데 말이죠..  업무시간이 아닌때에는  block하지않는것이 좋겠다는 요청이 다시 들어왔습니다.
넷스크린에서 정책을 만들때 스케쥴을 거는것이 보이지않아서  안되는줄 알고있었는데
예전의  전임담당자에게서 스케쥴 거는것이 가능하다는 말을 듣게되었습니다. 자세히 보니 있더군요..^^
월요일부터 금요일까지 09:00부터 18시까지 점심시간을 제외하고 block하는것으로 정책을 수정했습니다.

1. Block할 시간대를  schedule 오브젝트로 만들다
여기서는 work_time이란 오브젝트를 만들었습니다. 요일별로 두개의 time구간을 세팅할수있습니다.
set scheduler “work_time” recurrent monday start 9:0 stop 12:0 start 13:0 stop 18:0
set scheduler “work_time” recurrent tuesday start 9:0 stop 12:0 start 13:0 stop 18:0
set scheduler “work_time” recurrent wednesday start 9:0 stop 12:0 start 13:0 stop 18:0
set scheduler “work_time” recurrent thursday start 9:0 stop 12:0 start 13:0 stop 18:0
set scheduler “work_time” recurrent friday start 9:0 stop 12:0 start 13:0 stop 18:0

참고로 웹콘솔에서 세팅할때의 모습을 캡춰해봤습니다.
사용자 삽입 이미지
2. 정책에 만들어둔 schedule 오브젝트를 걸다.
unset policy id 4
set policy top from “Trust” to “Untrust”  “local_NET” “G_Block_url” “ANY” deny schedule “work_time” log

이것 역시 웹콘솔에서 세팅하는 모습도 넣어봅니다.
사용자 삽입 이미지
자 이제 월요일부터 금요일까지 점심시간을 제외하고 09:00-18:00까지 비업무용 사이트를 block하게 되었습니다. ^^

3 thoughts on “[netscreen] 시간대별로 정책적용하기

  1. 이현석

    자주 놀러와서 항상 여러 정보를 배우고 갑니다 ^^;;
    눈팅만 하다가 처음 글 남기네요~~

    방화벽 세팅을 저랑 같은 생각과 방법으로 세팅하시는 분이 있다니 ^^;;
    그룹명도 비슷… ㅎㅎㅎ
    웬지 소름이…–;;

    Reply
  2. 요섭

    한수 배우고 갑니다…
    혹 시간이 괜찮으시면 port block , ip block 정책 수립하는하는것도 부탁드립니다…
    제가 불가피(넷담당자의잠수로)하게 netscreen 25 방화벽을 쓰게 되었는데 거의 손도 못대고 있습니다..^^
    메뉴얼만 가지고는 영 감이안와서요 …부탁드립니다.

    nayo5908@naver.com

    Reply

답글 남기기

이메일은 공개되지 않습니다. 필수 입력창은 * 로 표시되어 있습니다.