原理如上面 mytiny 大師所述很簡單, 但做起來很複雜...
由於不清楚你的網路架構和營運模式, 可能要考量的問題有:

1. 你要 by IP, 還是 by ATU-R/VTU-R port 來控制?
2. 如果 by IP 的話, 你如何取得浮動 IP 的帳號?
3. 你原本的 Provision 系統是如何開通/關閉客戶的?

控制機制其實是最簡單的部分, 如前所述, 就是在一台有 Layer 4 Redirecting 能力的設備上, 設定一個導向的機制, 把流量導到指定的 Captive Portal 去讓客戶操作 (通常 ISP 等級應該是在 Edge Router 或 L4 Switch 上面做導向, 而不是防火牆, 不然可能會遇到效能不足的問題), 但是這個動作發生之前, 你有多少事情要先判斷然後預先配置, 免得錯亂掉?

如果沒有考慮你原先的 Provision 流程和機制, 就單單把這個功能插進營運網路內, 那麼 Provision 後台偵測到這個狀況他會怎麼反應? 如果你是 Auto-provision, 他有沒有 Exception 處理能力來因應這個狀況? 如果沒有處理 Exception 的話, 你的 Ad-hoc 設定跟 Provision 資料庫不一樣, 那他接下來會發生甚麼事?

如果你的作業流程是 Manual-provision, 然後又做了這個自動化的機制插進去, 這樣系統要如何知會人工作業的人員(包含客服), 讓他看到這個客戶資料的時候, 知道有這個機制被啟動了?

再來是 fail-safe 的問題:
當你的系統有部分設備 Crash 重開機之後, 是否所有系統都知道你為特定客戶設定的這個例外導向, 並且正確的套用?

由於不知道你的規模, 無從評估是否值得自行開發這個功能?
不過, 如果是小型 ISP 的話, 建議不要甚麼事情都自己蓋, ISP 營運後台叫做 OSS (Operations support systems), 有很多現成的 OSS 軟體可以幫你做到所有 ISP 業務需要的管控和帳務, 而且不貴, 一個用戶每月只要 US$1.- 而已, 就可以涵蓋掉你上面所述的每一個內部系統, 包含帳務...

像下面這家就可以輕易做到你要的功能, 何必自己寫:
(純參考, 非推介)

他連監控, 客服, 工單系統, 資產管理, 合約管理都有, 甚至還有 API, 可以做出屬於自己公司外觀的頁面, 然後呼叫它的後台來完成功能, 這樣你只需要處理前端, 都不用去管後端的問題....

應該不用什麼特別架構
只要能確定該客戶的ID與IP
在防火牆出口前往internet之前
將其攔下並吐往特定網頁即可
待客戶付款後再移除該條政策或名單即可
請洽詢負責貴公司防火牆維護SI廠商