限制篇(5.2) 01. MAC 地址绑定 - 命令模式 ❀ 飞塔 (Fortinet) 防火墙

原创 2016年08月10日 13:48:58

         【简介】将MAC地址与IP地址进行绑定,可以防止IP地址欺骗的网络攻击,IP欺骗攻击试图从不同的电脑使用一个可信计算机的IP地址连接并通过防火墙,IP地址可以很方便的改动,但MAC地址是在工厂生产时就添加到以太网卡里,很难改变,受信任的主机同时注册IP和MAC地址,就可以避免欺诈连接。


  设置 MAC 绑定接口

        要想 MAC 绑定起作用,首先需要在指定的接口下打开绑定功能。

        ① 首先查看防火墙的接口情况,这里是默认的Internal硬件交换接口;


        ② 在命令模式下使用 show system interface internal 查看internal接口状况,默认情况下并没有关于MAC绑定的配置;


        ③ 编辑 Internal 接口,打开 MAC 地址绑定功能;


        ④ 再次查看 Internal 接口,多了一个 ipmac 状态。

  配置 MAC 绑定表

        然后需要将 MAC 地址与对应的 IP 加入到表中。完整的命令格式如下:

         

        【 index_int 】 输入每对 IP / MAC 绑定唯一的ID号码

        【 ip 】输入绑定到 MAC 地址上的 IP 地址

        【 mac 】 输入 MAC 地址

        【 name 】为 IP / MAC 地址表的这个条目输入一个名称 (可选)

        【 status 】选择是否启用这个 IP / MAC 地址

        ① 使用 config firewall impacbinding table命令来配置 IP 和 MAC 地址对应到 MAC 绑定表中。你可以将多个 IP 地址绑定到相同的 MAC 地址,但是你不能绑定多个 MAC 地址到相同的IP地址。

 

        ② 这里分别使用直连防火墙的有线网卡 MAC 地址和通过无线转接的无线网卡 MAC 地址;


        ③ 使用 config firewall ipmacbinding table命令将MAC地址及绑定的IP加入到表中;


        ④ 使用 show firewall ipmacbinding table命令可以查看表里的内容。

  设置 MAC 绑定参数

  除了打开接口绑定功能和建立绑定表之外,还需要设置绑定参数。完整的命令格式如下:

          

        【 bindthroughfw 】 允许绑定的 IP 穿透防火墙

        【 bindtofw 】充许绑定 IP 到达防火墙

        【 undefinedhost 】 没有绑定的全部阻止

        ① 使用 config firewall impacbinding setting命令来设置IP的访问能力。


        ② 默认 bindthroughfw 和 bindotofw 的状态都是 disable ,undefinedhost 参数没有显示,当设置 bindthroughfw 为启用时,undefinedhost 参数才显示出来。bindthroughfw 为 enable ,就表明只有绑定MAC地址的IP是可以访问外网的。


        ③ 点击防火墙菜单【 策略&对象 】-【 对象 】-【 地址 】,新建若干地址,将IP/MAC绑定的IP地址加入其中;


        ④ 新建地址组;


        ⑤ 将绑定MAC地址的IP地址都加入;


        ⑥ 修改上网策略,在源地址处加上地址组,只有此地址组的IP才可以上网;

  MAC 绑定测试

        以上配置完成后,由于策略只允许指定的IP可以上网,因此有线网卡 MAC 地址与IP地址一致的时候,有线网卡上网是没有问题,如果修改了网卡的IP,策略会阻止上网,所以我们需要用没有绑定MAC地址的设备测试。


        ① 将一台非绑定MAC地址的网卡IP改为防火墙策略允许通过的IP地址;


        ② 访问外网时发现仍然不能通过。这就说明虽然防火墙策略允许10.0.1.88这个IP地址通过,但 IP/MAC 绑定表中没有符合的条件,仍然不允许通过。

  MAC 绑定之无线路由器

        前面测试的时候,也绑定了无线网卡的MAC地址,但是无线网卡无法上网。

        因为无线网卡连接的是无线路由器,无线路由器与防火墙之间连接的IP地址是10.0.1.254,由于MAC绑定没有加入路由器的MAC地址与IP地址,所以整个无线路由器也就无法上网。


        在绑定表里加入无线路由器的MAC地址与IP地址,发现无线网卡可以上网了,用其它无线网卡测试,也都可以上网,说明MAC地址绑定无法管理无线路由器之后的地址。

  MAC 绑定取消

        在管理网络的时候,有时需要暂时取消某台电脑的绑定,这就需要修改MAC绑定表。


        将条目的状态改为disable后,这条绑定就失效了。

  禁止指定 MAC 设备上网

        有时候因为安全需要禁止某些电脑上网,例如财务、安保电脑,那么就需要修改MAC绑定设置。


        ① 默认 undefinedhost 参数为block ,将参数设置为allow,则表示除绑定MAC地址之外的都可以上网;


        ② 新建访问外网策略,源地址选择绑MAC地址的IP地址组,动作选项DENY;


        ③ 将新建的策略置于允许访问外网的策略之上;


        ④ 将绑定MAC地址的网卡IP地址修改为10.0.1.89,防火墙策略里禁止访问外网的IP是10.0.1.88;


        ⑤ 仍然是无法访问外网,策略上并没有阻止10.0.1.89访问外网,说明是MAC绑定阻止了。

  禁止指定 MAC 设备登录防火墙

        防火墙如果知道帐号和密码的话,很容易从内网就可以登录,为了安全起见需要禁止从内访问防火墙,可以将修改MAC绑定设置。


        当修改 bindtofw 参数为enable后,所有绑定MAC地址的IP虽然可以上网,但是不能登录防火墙。


飞塔技术-老梅子   QQ:57389522



版权声明:本文为博主原创文章,未经博主允许不得转载。

思科的交换机IP地址与MAC绑定

3550#config terminal //进入全局配置模式 3550(config)# Interface fastethernet 0/1 //进入需要配置的具体端口配置模式 3550(con...
  • suzathlan
  • suzathlan
  • 2017年02月06日 10:24
  • 2073

限制篇(5.2) 02. MAC 地址绑定 - 基于 DHCP ❀ 飞塔 (Fortinet) 防火墙

当开启 DHCP 服务后,计算机获取 IP 地址都是根据顺序分发的,但是有时我们需要指定某台电脑为指定 IP 地址,除了在电脑上手动设置外 (这需要电脑上修改),我们还可以通过 DHCP 服务来为指定...
  • meigang2012
  • meigang2012
  • 2016年08月11日 17:04
  • 3586

限制篇(5.2) 04. 流量控制 - 共享带宽限速 ❀ 飞塔 (Fortinet) 防火墙

在大型企业中人员比较多而带宽又不太够的情况下,需要对上网进行限速,但是限速又不能一刀切,例如销售部门,对互联网带宽需求比较大,其它非重要部门带宽可以少些,也就是要区别对待了。下面我们看看飞塔防火墙怎么...
  • meigang2012
  • meigang2012
  • 2017年01月05日 12:14
  • 1819

限制篇(5.2) 03. 流量控制 - 基于模板限速 ❀ 飞塔 (Fortinet) 防火墙

在实际工作经常会遇到这种情况,公司的互联网带宽有限,但上网的人很多,还有人不自觉的下载大文件、看视频等等,造成网络很卡、很慢,一开视频会议就掉线或卡带,BOSS很生气。增加互联网带宽领导不批,开源不行...
  • meigang2012
  • meigang2012
  • 2017年01月06日 11:03
  • 1389

DHCP静态地址分配和ARP绑定的理解

DHCP静态地址分配 某IP地址只能被指定的设备(mac地址)使用 设A是一个IP地址,a是一台设备。使用DHCP静态地址分配将A分配给a。 那么IP地址A只能被设备a使用,但是a也可以使用其他...
  • rockwzy
  • rockwzy
  • 2016年05月27日 23:38
  • 488

教程篇(5.4) NSE4 14. 透明模式 ❀ 飞塔 (Fortinet) 网络安全专家

在这节课中你将学习如何在一个FortiGate里做透明模式和二层交换。
  • meigang2012
  • meigang2012
  • 2017年11月22日 15:16
  • 749

硬件防火墙与软件防火墙的区别

1.     硬件防火墙、软件防火墙的概念硬件防火墙----安全厂商在硬件服务器厂商定制硬件,然后再把Linux系统与自己的软件系统嵌入。软件防火墙-----由软件安全厂商开发的软件防火墙产品,用户购...
  • flyfranker
  • flyfranker
  • 2009年04月23日 15:04
  • 5099

接口篇(5.2) 02. 接口的拆分 ❀ 飞塔 (Fortinet) 防火墙

飞塔低端防火墙大部分内网接口都是硬件交换模式,共用一个 IP 地址,如果需要在防火墙接口上配置多个 IP 地址网段,那要怎么办?...
  • meigang2012
  • meigang2012
  • 2016年06月06日 15:35
  • 4395

VPN篇(5.2) 10. 绑定网卡访问 SSL VPN ❀ 飞塔 (Fortinet) 防火墙

在某些特殊场合下,只希望财务(或BOSS)的指定电脑能够通过SSL VPN远程访问公司内网。其它的电脑都不可以,即使知道SSL VPN的连接方式。要达到这个目的,只需要将SSL VPN与MAC地址进行...
  • meigang2012
  • meigang2012
  • 2017年07月07日 16:56
  • 1054

宽带篇(5.4) 01. 宽带上网设置 ❀ 飞塔 (Fortinet) 防火墙

在没有防火墙之前,一般是路由器在网络的最外端,有了防火墙之后,建议防火墙在最外端,取代路由器,这样可以方便远程管理防火墙,以及映射服务器到外网,那么宽带就需要接入到防火墙。...
  • meigang2012
  • meigang2012
  • 2017年02月15日 12:19
  • 1440
内容举报
返回顶部
收藏助手
不良信息举报
您举报文章:限制篇(5.2) 01. MAC 地址绑定 - 命令模式 ❀ 飞塔 (Fortinet) 防火墙
举报原因:
原因补充:

(最多只允许输入30个字)