IP地址——MAC 地址绑定

2016-03-16 12:00:00
admin
原创
682
摘要:在日常操作中,FortiGate防火墙可根据源地址和目的地址来执行防火墙策略。 FortiGate也可以配置使用客户端的MAC地址来严格访问控制。当将一个IP地址和一个MAC 地址进行绑定时,可提供更严格的控制和更详细的报表。通过验证客户端的MAC地址来给 予访问权限可防止ip地址欺骗等攻击,进一步提高安全性。

     在 FortiOS 中 IP-MAC 地址绑定目前只能在命令行中完成。 管理员可手动配置绑定

来映射 IP 和 MAC 的对应关系。

     通常只建议在中小型网络中开启改功能。 如果流量在到达FortiGate之前经过了三层的

路由设置,则客户端的MAC地址会被路由器的MAC地址所取代从而失效。

    功能配置,首先确定对于那些流量是否要启用IP-MAC绑定的查询,具体命令如下:

     config firewall ipmacbinding setting
          set bindthroughfw {enable | disable} - 对通过防火墙的流量是否启用 IP 和 MAC 绑定
          set bindtofw {enable | disable} - 对于访问防火墙的流量是否进行 IP 和 MAC 绑定查询
          set undefinedhost {allow | block} – 定义防火墙如何处理未匹配绑定规则的流量
     end

    其次配置具体的IP-MAC映射表

    config firewall ipmacbinding table
           edit <index_int> - IP-MAC 绑定表序列号
           set ip <address_ipv4> - IP 地址
           set mac <address_hex> - MAC 地址
           set name <name_str> - 设置可用来代表该绑定的名称
           set status {enable | disable} – 是否启用该绑定规则
     end

     最后在Interface上启用IP-MAC绑定

     config system interface
           edit <interface name>
           set ipmac {enable | disable } - 是否在此接口上启用 IP-MAC 绑定
           next
     end

如果启用了 IP-mac 地址绑定,一旦客户端的 IP 地址或 MAC 地址发生了变化,或一
台新的电脑添加到网络中,必须立即手动更新 IP-MAC 表。如果不及时更新,根据 config
firewall ipmacbinding setting 里设置的内容,新的或发生过 IP,MAC 变化的主机就不能
访问或通过 ForiGate 进行访问。

        注意: 如果一个客户端从 FortiGate 的 DHCP 服务器上获取 IP 地址,则客户端的 MAC

地址会自动注册到 IP-MAC 绑定表中。这可以简化 IP-MAC 绑定的配置。但如果一个非信任的

客户端被允许从 FortiGate DHCP 服务器上获取地址,则 IP-MAC 绑定功能就失效了。因此在

启用和允许到 DHCP 服务器的访问时必须谨慎。

        在 DHCP 中,你也可以配置 FortiGate 防火墙根据客户端的 MAC 地址来分配其一个
特定的 IP 地址。使用命令 config system dhcp reserved-address 来根据特定客户端的设
备 MAC 地址和连接方式保留一个 IP 地址。 DHCP 服务器会始终分配保留的 IP 地址给客户
端。可建立的 DHCP 保留地址的条目根据不同的 FortiGate 型号会有所不同,具体可参考
FortiOS 5.0.7 Maximum Values Table。
使用以下命令:
config system dhcp reserved-address
      edit <name_str> DHCP 保留地址表名称
      set ip <address_ipv4> IP 地址
      set mac <address_hex> mac 地址
      set type {regular | ipsec} 是常规 DHCP 还是 IPSEC 中的 DHCP
end
注意:绑定到特定 MAC 地址上的 IP 地址必须是在 ForiGate 的 DHCP 服务器地址范
围内的(开始 ip-结束 ip 内),

发表评论
评论通过审核之后才会显示。
联系我们
电话: 010 62567200
传真: 010 62567200
QQ: 2679711861
微信: JIULIANYUNTIAN
地址: 北京市海淀区中关村东路89号恒兴大厦19层19G