【简介】我们已经知道了可以在策略里指定某些IP允许上网,也可以指定某些IP禁止上网,但是如果某个员工知道了某个IP是可以上网的,把他自己的电脑改成这个IP,那不是也能上网了?为了防止修改IP地址后可以上网,我们需要将IP地址与网卡的MAC地址绑定在一起,这样即使修改了IP地址,但MAC地址不符,也是不能上网的。
接口环境
防火墙的内网接口常见的有硬件交换和各自独立两种,我们以各自独立的接口为例。
① 这里配置内网接口5,IP地址为172.20.5.1,打开了DHCP服务,允许自动分配IP地址。
② 在这个接口只允许部分IP地址上网,因此建立一个地址对象,指定可以上网的IP地址范围。
③ 建立上网策略,指定172.20.5.180-172.20.5.200这个IP范围的电脑,可以通过Wan1接口上网。
④ 在internal5接口上接上电脑,自动获取IP地址,根据DHCP服务的启始IP,获得的IP地址是172.20.5.20,但在策略里只允许180-200可以上网,因此这台电脑是不能上网的。
⑤ 手动将电脑IP地址修改为172.20.5.188,符合上网地址范围180-200,因此可以看到,这个IP地址的电脑是可以上网的。
MAC 地址占用
手动修改IP地址允许上网,很显然会工作量比较大并且效率低,其实我们只要记录下允许上网电脑的网卡MAC地址,将MAC地址与可以上网的IP地址绑定,就可以轻松达到目的了。
① 在网卡的属性中,我们可以看到网卡的物理地址,也就是MAC地址。
② 选择菜单【网络】-【接口】,选择internal5接口,点击【编辑】,可以看到接口内容,点击DHCP服务器设置里的高级选项。
③ 在MAC占用+访问控制设置中,点击【新建】,将MAC地址与IP地址填入,动作为保留IP。可以建立多条MAC占用。点击【确认】。
④ 修改网卡的配置为自动获取IP地址与DNS。
⑤ 获取IP后可以看到,这个MAC地址得到的IP是指定172.20.5.188,而不再是一开始获得的172.20.5.20了。这样就可以通过策略允许上网了。
⑥ 这样操作虽然很省心,但也不是没有漏洞。如果正好这台电脑关机了,我们用另一台电脑手动修改地址为172.20.5.188,还是可以上网的。也就是说,DHCP里的设置只是占用了IP地址,并没有绑定在一起。
MAC地址绑定表
实际上,防火墙象设置黑白名单一样,可以设置一张MAC地址绑定表,并允许通过绑定表控制是否能访问防火墙或外网。只是这张绑定表的配置都需要通过命令来完成。
① 在仪表板上有可以输入命令的CLI控制台,也可以随时通过右上角的子菜单点击CLI Console打来命令输入窗口。
② 输入get firewall ipmacbinding table命令,可以看到MAC地址绑定表的内容,默认是空的。
③ 配置MAC绑定表的命令是config firewall ipmacbinding table,表格的内容包括序号、IP地址、MAC地址、备注(可选)、状态。
④ 根据MAC绑定表的结构,我们收集了三个MAC地址信息,分别是无线路由器外网接口、直连防火墙的电脑MAC地址,还有连接三层交换机再经过防火墙的电脑MAC地址。分别测试不同环境下的绑定效果。
⑤ 用config firewall ipmacbinding table命令进入配置状态,edit 0表示从最后一个开始加入表,例如是空表,edit 0就表示编辑第1个,如果里面有5条记录,edit 0就表示编辑第6条。next表示完成这条编辑,end保存并退出。
⑥ 用show firewall ipmacbinding table命令可以看到刚已经建立的三条记录,并自动编写了序号。
⑦ 如果需要修改某条记录,进入配置状态后,编辑记录序号,设置修改内容,end退出保存。例如修改状态,使某条记录启动或禁用MAC绑定。
⑧ 对于确定不再使用的记录,也可以用delete命令加序号删除。
【提示】 如果需要绑定几十至几百条MAC地址,手动一条条输入确实很影响效率,可以参考:维护篇(5.2)-08. 批量命令操作 ❀ 飞塔 (Fortinet) 防火墙。
启用MAC地址绑定
虽然我们编辑生成了MAC地址绑定表,但这张表默认是没有启用的,我们还需要用命令启用这张表。
① 输入get firewall ipmacbinding setting命令,可以看到MAC地址绑定表的默认设置两个参数都是禁用的。
② 实际上MAC绑定表设置有三个参数,只有第一个参数bindthroughfw设置为enable时,undefinedhost参数才可以配置。
③ 三个参数的作用分别是:bindthroughfw,允行或禁止通过防火墙上网。bindtofw,允行或禁止访问防火墙,undefinedhost,block表示只有绑定表内容才能通过,Allow表示相反,非绑定表内容才能通过。
④ 用config firewall ipmacbinding setting命令进入设置状态,修改bindthroughfw为enable,保存后立即可以看到效果,只有绑定表里的IP可以上网,其它都不能上网了。包括防火墙上的所有内网接口。
⑤ 再次查看MAC绑定设置状态,这次多出一个undefindehost参数。如果将undefinedhost参数设置为Allow,则所有MAC绑定表的IP都不可以上网,没有绑定的都可以上网。
验证效果 - 直接防火墙
我们配置了三个不同连接方式的MAC地址绑定,也启动MAC地址绑定了,现在我们来验证一下绑定效果。
① 直接连接防火墙内网接口5的电脑通过DHCP分配占用172.20.5.188地址,MAC绑定表了也绑定了这个地址,现在是可以正常上网的。
② 当修改了IP地址后,因为不符合MAC绑定表内容,应该是无法上网的,但是。。。。。然并卵用,还是可以上网。
③ 原因是我们虽然启动了MAC绑定,但是接口的允许MAC绑定功能没有打开,因此我们需要编辑防火墙内网接口5,将直ipmac参数设置为enable。
④ 修改完后用show命令再次查看接口内容,确定ipmac状态是enable。
⑤ 再次修改连接防火墙内网接口5的电脑IP地址,发现不能上网了,只有绑定的IP地址可以上网,MAC绑定有效。
【注意】 接口的DHCP服务,如果没有使用MAC地址占用功能,请一定要关闭,否则会导致修改IP地址后仍可以上网。
验证效果 - 无线路由器
我们在Mac绑定表里绑定了无线路由器的外网MAC地址,一般来说无线路由器的外网IP地址会很少改动,主要测试的是连接无线路由器的电脑因为不在MAC绑定表里,是否能上网。
① 我们将连接无线路由器的防火墙接口ipmac设置为enable。
② 笔记本电脑无线网卡连接无线路由器,可以看到IP地址和MAC地址并不在防火墙的MAC绑定表里,但是仍可以上网。连接无线路由器的任何设备都可以上网。证明防火墙无法绑定路由器后面的MAC地址。
验证效果 - 三层交换机
我们将电脑连接在思科的三层交换机上面,交换机与防火墙连接,在防火墙连接交换机的内网接口ipmac没有打开的情况下,电脑无法上网。
① 我们将连接三层交换机的防火墙接口ipmac设置为enable。
② 虽然MAC绑定表里有记录,而且策略也允许上网,但这台电脑却无法上网。而将ipmac设置为disable时则可以上网。证明防火墙无法绑定三层交换机下面的MAC地址。
989
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
