飞塔 (Fortinet) 防火墙配置-绑定 MAC 地址 (基于接口)

 IP / MAC 绑定需求

  将MAC地址与IP地址进行绑定,可以防止IP地址欺骗的网络攻击,IP欺骗攻击试图从不同的电脑使用一个可信计算机的IP地址连接并通过防火墙,IP地址可以很方便的改动,但MAC地址是在工厂生产时就添加到以太网卡里,很难改变,受信任的主机同时注册IP和MAC地址,就可以避免欺诈连接。

  飞塔防火墙绑定MAC地址有两种方式,一种是基于接口,这个需要用命令行进行配置,另一种是基于DHCP,可以在Web页面上完成。

 IP / MAC 绑定接口

  要想IP/MAC绑定起作用,首先需要在指定的接口下打开绑定功能。

  ① 首先查看防火墙的接口情况,这里是默认的Internal硬件交换接口;

  ② 在命令模式下使用 show system interface internal 查看internal接口状况,默认情况下并没有关于MAC绑定的配置;

  ③ 编辑 Internal 接口,打开 MAC 地址绑定功能;

  ④ 再次查看 Internal 接口,多了一个 ipmac 状态。

  IP / MAC 绑定表

然后需要将MAC地址与对应的IP加入到表中。完整的命令格式如下:

  

  【 index_int 】 输入每对 IP / MAC 绑定唯一的ID号码

  【 ip 】输入绑定到 MAC 地址上的 IP 地址

  【 mac 】 输入 MAC 地址

  【 name 】为 IP / MAC 地址表的这个条目输入一个名称 (可选)

  【 status 】选择是否启用这个 IP / MAC 地址

  ① 使用 config firewall impacbinding table
命令来配置IP和MAC地址对应到 IP / MAC 绑定表中。你可以将多个IP地址绑定到相同的MAC地址,但是你不能绑定多个MAC 地址到相同的IP地址。

 

  ② 这里分别使用直连防火墙的有线网卡 MAC 地址和通过无线转接的无线网卡 MAC 地址;

  ③ 使用 config firewall ipmacbinding table
命令将MAC地址及绑定的IP加入到表中;

  ④ 使用 show firewall ipmacbinding table
命令可以查看表里的内容。

 IP
/ MAC 绑定设置

  除了打开接口绑定功能和建立绑定表之外,还需要设置绑定参数。完整的命令格式如下:

  

  【 bindthroughfw 】 允许绑定的 IP 穿透防火墙

  【 bindtofw 】充许绑定 IP 到达防火墙

  【 undefinedhost 】 没有绑定的全部阻止

  ① 使用 config firewall impacbinding setting命令来设置IP的访问能力。

  ② 默认 bindthroughfw 和 bindotofw 的状态都是 disable ,undefinedhost 参数没有显示,当设置 bindthroughfw 为启用时,undefinedhost 参数才显示出来。bindthroughfw 为 enable ,就表明只有绑定MAC地址的IP是可以访问外网的。

  ③ 点击防火墙菜单【 策略&对象 】-【 对象 】-【 地址 】,新建若干地址,将IP/MAC绑定的IP地址加入其中;

  ④ 新建地址组;

  ⑤ 将绑定MAC地址的IP地址都加入;

  ⑥ 修改上网策略,在源地址处加上地址组,只有此地址组的IP才可以上网;

 IP
/ MAC 绑定效果测试

  以上配置完成后,由于策略只允许指定的IP可以上网,因此有线网卡 MAC 地址与IP地址一致的时候,有线网卡上网是没有问题,如果修改了网卡的IP,策略会阻止上网,所以我们需要用没有绑定MAC地址的设备测试。

  ① 将一台非绑定MAC地址的网卡IP改为防火墙策略允许通过的IP地址;

  ② 访问外网时发现仍然不能通过。这就说明虽然防火墙策略允许10.0.1.88这个IP地址通过,但 IP/MAC 绑定表中没有符合的条件,仍然不允许通过。

 无线路由器的MAC地址绑定

  前面测试的时候,也绑定了无线网卡的MAC地址,但是无线网卡无法上网。

  因为无线网卡连接的是无线路由器,无线路由器与防火墙之间连接的IP地址是10.0.1.254,由于MAC绑定没有加入路由器的MAC地址与IP地址,所以整个无线路由器也就无法上网。

  在绑定表里加入无线路由器的MAC地址与IP地址,发现无线网卡可以上网了,用其它无线网卡测试,也都可以上网,说明MAC地址绑定无法管理无线路由器之后的地址。

 取消MAC绑定

  在管理网络的时候,有时需要暂时取消某台电脑的绑定,这就需要修改MAC绑定表。

  将条目的状态改为disable后,这条绑定就失效了。

 禁止指定MAC设备上网

  有时候因为安全需要禁止某些电脑上网,例如财务、安保电脑,那么就需要修改MAC绑定设置。

  ① 默认 undefinedhost 参数为block ,将参数设置为allow,则表示除绑定MAC地址之外的都可以上网;

  ② 新建访问外网策略,源地址选择绑MAC地址的IP地址组,动作选项DENY;

  ③ 将新建的策略置于允许访问外网的策略之上;

  ④ 将绑定MAC地址的网卡IP地址修改为10.0.1.89,防火墙策略里禁止访问外网的IP是10.0.1.88;

  ⑤ 仍然是无法访问外网,策略上并没有阻止10.0.1.89访问外网,说明是MAC绑定阻止了。

 禁止登录防火墙

  防火墙如果知道帐号和密码的话,很容易从内网就可以登录,为了安全起见需要禁止从内访问防火墙,可以将修改MAC绑定设置。

  当修改 bindtofw 参数为enable后,所有绑定MAC地址的IP虽然可以上网,但是不能登录防火墙。

时间: 2024-10-23 03:28:39

飞塔 (Fortinet) 防火墙配置-绑定 MAC 地址 (基于接口)的相关文章

飞塔 (Fortinet) 防火墙配置-SSL VPN (OS 5.2.7)

SSL VPN 与 IPSec VPN的区别 SSL VPN,与传统的IPSec VPN技术各具特色,各有千秋.SSL VPN比较适合用于移动用户的远程接入(Client-Site),而IPSec VPN则在网对网(Site-Site)的VPN连接中具备先天优势.这两种产品将在VPN市场上长期共存,优势互补.在产品的表现形式上,两者有以下几大差异: 1.IPsec VPN多用于"网-网"连接,SSL VPN用于"移动客户-网"连接.SSL VPN的移动用户使用标准的

飞塔 (Fortinet) 防火墙配置-IPsec VPN (固定宽带-拨号宽带)

简介 VPN作为一项成熟的技术,广泛应用于组织总部和分支机构之间的组网互联,其利用组织已有的互联网出口,虚拟出一条"专线",将组织的分支机构和总部连接起来,组成一个大的局域网. IPSec VPN即指采用IPSec协议来实现远程接入的一种VPN技术,IPSec全称为Internet Protocol Security,是由Internet Engineering Task Force (IETF) 定义的安全标准框架,用以提供公用和专用网络的端对端加密和验证服务. 很多企业有类似这种的

端口绑定MAC地址(思科)

Switch>enable //进入特权模式 Switch#configure //进入全局配置模式 Switch(config)#interface fastEthernet 0/1 //进入端口模式 Switch(config-if)#switchport mode access //配置端口为access Switch(config-if)#switchport port-security //添加端口静态MAC地址,默认地址数是一个 Switch(config-if)#switchpor

深度技术W10系统中绑定MAC地址和IP地址的设置技巧

深度技术W10系统中绑定MAC地址和IP地址的设置技巧分享给大家,感兴趣的用户,请一起来了解下,以备以后作参考,具体如下:1.点击“开始——搜索”,输入CMD命令,然后在CMD上右键选择以管理员身份运行.2.在打开的命令行窗口中,输入 netsh i i show in运行,在以上显示内容中找到你用来上网连接的Idx号码,在下面命令中使用 (比如小编这里上网的网卡是“WLAN”所以Idx为5). 3.在命令提示符窗口输入:arp -a 查看各个IP与对应的mac地址 4.输入netsh -c "

Cisco 绑定mac地址

在Cisco中有以下三种方案可供选择,方案1和方案2实现的功能是一样的,即在具体的交换机端口上绑定特定的主机的MAC地址(网卡硬件地址),方案3是在具体的交换机端口上同时绑定特定的主机的MAC地址(网卡硬件地址)和IP地址. 1.方案1——基于端口的MAC地址绑定 思科2950交换机为例,登录进入交换机,输入管理口令进入配置模式,敲入命令: ng=1 cellPadding=0 width="80%" align=left bgColor=#cccccc border=0> Sw

K应用篇 ? 1. 防范 WiFi Kill 攻击 ? 飞塔 (Fortinet) 防火墙 OS 5.2.8

WiFi Kill案例 某校在校学生近二万人,采用飞塔防火墙和FortiAP组成校园无线网,学生通过校园无线网访问互联网. 近期许多学生反映,校园网无线WiFi可以连上,但是上不了网,经查证,原来是许多学生使用了一款叫"WiFi杀手"的手机软件. WiFi Kill 介绍 WiFi Kill (Wifi 杀手)是一个邪恶的软件,这个软件能把其他在同一WiFi网络的设备踢下线:更绝的是被踢的用户还感觉不到! WiFi Kill 被设计用来报复那些肆意侵占带宽的用户.其开发者Bponury

IP地址映射绑定MAC地址

1.局域网之间通过查询对方IP地址可以将对方Mac地址映射到主机的APR缓冲表中.将主机IP地址映射到Mac上 首先通过 net view 查询共享的的局域网主机 第二:随便选取一个计算机名,强制使用ipv4得到IP地址,ping同之后ARP缓冲表中更新了ARP表,添加了当前的IP地址和对应的Mac 第三 获取主机的APR缓冲表 第四.将得到的Mac地址和自己主机IP地址进行映射 这样就成功的将自己的IP地址映射到局域网中的其他主机的Mac上.常见的蹭网形式.但是校园网存在账户设置不行.应为IP

思科交换机配置单播MAC地址过滤

1.其他厂商: 在华为,华三等设备上,我们都有"黑洞MAC地址表项" 的配置,其特点是手动配置.不会老化,且重启后也不会丢失.例如如下示例: 黑洞表项是特殊的静态MAC地址表项,丢弃含有特定源MAC地址或目的的MAC地址的数据帧:防止无用的MAC地址表项占用MAC地址表:将非信任的MAC配置为黑洞MAC地址,当设备收到目的或源MAC地址为黑洞里的MAC时直接丢弃,防止网络攻击. 在MAC地址已满的情况下配置静态或黑洞MAC表时,如果表中存在对应的要配置的表则自动覆盖:如果不存在则无法添

网络编程懒人入门(九):通俗讲解,有了IP地址,为何还要用MAC地址?

1.前言 标题虽然是为了解释有了 IP 地址,为什么还要用 MAC 地址,但是本文的重点在于理解为什么要有 IP 这样的东西.本文对读者的定位是知道 MAC 地址是什么,IP 地址是什么. (本文同步发布于:http://www.52im.net/thread-2067-1-1.html) 2.关于作者 翟志军,个人博客地址:https://showme.codes/,Github:https://github.com/zacker330.感谢作者的原创分享. 作者的另一篇<即时通讯安全篇(七)