pfSense配置基於時間的防火牆規則

基於時間的規則容許防火牆規則在指定的日期和/或時間範圍內激活。基於時間的規則與任何其餘規則的功能相同，只是它們在預約時間以外的規則集中實際上不存在。

基於時間的規則邏輯處理基於時間的規則時，調度計劃肯定什麼時候應用防火牆規則中指定的操做。當計劃未涵蓋當前時間或日期時，防火牆的行爲就好像規則不存在同樣。例如，若是在其下面存在單獨的阻止規則，則在星期六傳遞流量的規則將僅在其餘日期阻止它。規則從上到下處理，與其餘防火牆規則相同。使用第一個匹配項，一旦找到匹配項，若是規則處於計劃中，則執行該操做，而且不評估其餘規則。

 

注意：在使用計劃時，規則將不會在計劃時間以外生效。該規則不會撤消其操做，由於當前時間不在預約時間內。若是不考慮此行爲，可能會致使客戶端在計劃定義的時間範圍以外無心中訪問。

配置基於時間的防火牆規則

必須先定義計劃，而後才能在防火牆規則上使用它們。計劃在防火牆>日程計劃下定義，每一個計劃可包含多個時間範圍。在如下示例中，公司但願在工做時間拒絕訪問HTTP，其餘時間則容許進行訪問。

要添加日程計劃：

• 導航到防火牆>日程計劃

• 單擊 添加打開計劃編輯頁面，以下圖所示。

• 輸入日程表名稱。這是出如今選擇列表中以用於防火牆規則的名稱。與別名同樣，此名稱只能包含字母和數字，不能包含空格。例如：BusinessHours

• 輸入計劃的描述說明，例如。Normal Business Hours

• 定義一個或多個時間範圍：

  • 經過選擇特定月份和日期來設置月份，或者經過單擊星期幾標題來設置日期。

  • 選擇開始時間和中止時間，控制規則在所選日期什麼時候處於活動狀態。任何一天的時間都不能跨越零點。一成天的範圍從0:00至23:59。

  • 輸入此特定範圍的可選時間範圍說明，例如 Work Week

  • 單擊「  添加時間」將選項添加爲範圍

• 單擊保存

時間表能夠適用於特定日期，例如2016年9月2日，或星期幾到星期三等。要選擇一年內的任意指定日期，請從下拉列表中選擇月份，而後單擊日曆上的特定日期或日期編號。要選擇一週中的某一天，請在列標題中單擊其名稱。

在這個例子中，點擊週一，週二，週三，週四和至週五。不管月份如何，這將使週日至週五的時間表生效。如今以24小時格式選擇此日程表的活動時間。此示例業務的營業時間爲9:00至17:00（下午5點）。全部時間都以當地時區爲標準。

定義時間範圍後，它將顯示在計劃編輯屏幕底部的列表中，以下圖所示。

添加其餘時間範圍

爲了擴展這種設置，星期六可能會有半天的時間來定義，或者商店可能在星期一晚些時候開放。在這種狀況下，請定義相同日期的時間範圍，而後爲具備不一樣時間範圍的每一天定義另外一個範圍。這個時間範圍的集合將是完整的時間表。

保存計劃條目後，瀏覽器將返回計劃列表，以下圖所示。這個日程計劃如今可在防火牆規則中進行引用。

在防火牆規則中添加日程計劃

要使用該日程計劃建立防火牆規則，請在所需接口上建立新規則。在本示例中，添加規則來拒絕LAN接口上的LAN子網的流量從LAN子網到HTTP端口上的任意目標。在規則的高級選項中，找到「 日程表」設置並選擇「 BusinessHours」計劃，以下圖所示。

保存規則後，日程計劃將顯示在防火牆規則列表中，並顯示日程計劃的活動狀態。以下圖所示 ，這是拒絕規則，而且計劃列指示規則當前處於活動阻止狀態，由於正在計劃範圍內的某個時間查看該規則。若是鼠標光標懸停在計劃狀態指示器上，則防火牆會顯示相應提示，顯示規則在當前時間的行爲方式。因爲這是在BusinessHours計劃中定義的時間內查看的，所以會說「當前正在拒絕與此規則相匹配的流量」。若是在此規則以後存在與LAN網絡上的端口80上的流量匹配的傳遞規則，則容許在預約時間以外容許該規則執行。

定義了規則後，應在計劃時間的範圍內和範圍外進行測試，以確保實現所需的管理目標。

注意：默認狀況下，當日程計劃到期時，將清除狀態以用於計劃規則容許的活動鏈接。這會關閉規則在活動時容許的任何人的訪問權限。要容許這些鏈接保持打開狀態，請在「 系統」>「高級,其餘」選項卡上選中「計劃到期時不要終止鏈接」。