【简介】我们已经知道了可以在策略里指定某些IP允许上网,也可以指定某些IP禁止上网,但是如果某个员工知道了某个IP是可以上网的,把他自己的电脑改成这个IP,那不是也能上网了?为了防止修改IP地址后可以上网,我们需要将IP地址与网卡的MAC地址绑定在一起,这样即使修改了IP地址,但MAC地址不符,也是不能上网的。

  接口环境

防火墙的内网接口常见的有硬件交换和各自独立两种,我们以各自独立的接口为例。

① 这里配置内网接口5,IP地址为172.20.5.1,打开了DHCP服务,允许自动分配IP地址。

② 在这个接口只允许部分IP地址上网,因此建立一个地址对象,指定可以上网的IP地址范围。

③ 建立上网策略,指定172.20.5.180-172.20.5.200这个IP范围的电脑,可以通过Wan1接口上网。

④ 在internal5接口上接上电脑,自动获取IP地址,根据DHCP服务的启始IP,获得的IP地址是172.20.5.20,但在策略里只允许180-200可以上网,因此这台电脑是不能上网的。

⑤ 手动将电脑IP地址修改为172.20.5.188,符合上网地址范围180-200,因此可以看到,这个IP地址的电脑是可以上网的。

  MAC 地址占用

手动修改IP地址允许上网,很显然会工作量比较大并且效率低,其实我们只要记录下允许上网电脑的网卡MAC地址,将MAC地址与可以上网的IP地址绑定,就可以轻松达到目的了。

① 在网卡的属性中,我们可以看到网卡的物理地址,也就是MAC地址。

② 选择菜单【网络】-【接口】,选择internal5接口,点击【编辑】,可以看到接口内容,点击DHCP服务器设置里的高级选项。

③ 在MAC占用+访问控制设置中,点击【新建】,将MAC地址与IP地址填入,动作为保留IP。可以建立多条MAC占用。点击【确认】。

④ 修改网卡的配置为自动获取IP地址与DNS。

⑤ 获取IP后可以看到,这个MAC地址得到的IP是指定172.20.5.188,而不再是一开始获得的172.20.5.20了。这样就可以通过策略允许上网了。

⑥ 这样操作虽然很省心,但也不是没有漏洞。如果正好这台电脑关机了,我们用另一台电脑手动修改地址为172.20.5.188,还是可以上网的。也就是说,DHCP里的设置只是占用了IP地址,并没有绑定在一起。

  MAC地址绑定表

实际上,防火墙象设置黑白名单一样,可以设置一张MAC地址绑定表,并允许通过绑定表控制是否能访问防火墙或外网。只是这张绑定表的配置都需要通过命令来完成。

① 在仪表板上有可以输入命令的CLI控制台,也可以随时通过右上角的子菜单点击CLI Console打来命令输入窗口。

② 输入get firewall ipmacbinding table命令,可以看到MAC地址绑定表的内容,默认是空的。

③ 配置MAC绑定表的命令是config firewall ipmacbinding table,表格的内容包括序号、IP地址、MAC地址、备注(可选)、状态。

④ 根据MAC绑定表的结构,我们收集了三个MAC地址信息,分别是无线路由器外网接口、直连防火墙的电脑MAC地址,还有连接三层交换机再经过防火墙的电脑MAC地址。分别测试不同环境下的绑定效果。

⑤ 用config firewall ipmacbinding table命令进入配置状态,edit 0表示从最后一个开始加入表,例如是空表,edit 0就表示编辑第1个,如果里面有5条记录,edit 0就表示编辑第6条。next表示完成这条编辑,end保存并退出。

⑥ 用show firewall ipmacbinding table命令可以看到刚已经建立的三条记录,并自动编写了序号。

⑦ 如果需要修改某条记录,进入配置状态后,编辑记录序号,设置修改内容,end退出保存。例如修改状态,使某条记录启动或禁用MAC绑定。

⑧ 对于确定不再使用的记录,也可以用delete命令加序号删除。

  【提示】 如果需要绑定几十至几百条MAC地址,手动一条条输入确实很影响效率,可以参考:维护篇(5.2)-08. 批量命令操作 ❀ 飞塔 (Fortinet) 防火墙。

  启用MAC地址绑定

虽然我们编辑生成了MAC地址绑定表,但这张表默认是没有启用的,我们还需要用命令启用这张表。

① 输入get firewall ipmacbinding setting命令,可以看到MAC地址绑定表的默认设置两个参数都是禁用的。

② 实际上MAC绑定表设置有三个参数,只有第一个参数bindthroughfw设置为enable时,undefinedhost参数才可以配置。

③ 三个参数的作用分别是:bindthroughfw,允行或禁止通过防火墙上网。bindtofw,允行或禁止访问防火墙,undefinedhost,block表示只有绑定表内容才能通过,Allow表示相反,非绑定表内容才能通过。

④ 用config firewall ipmacbinding setting命令进入设置状态,修改bindthroughfw为enable,保存后立即可以看到效果,只有绑定表里的IP可以上网,其它都不能上网了。包括防火墙上的所有内网接口。

⑤ 再次查看MAC绑定设置状态,这次多出一个undefindehost参数。如果将undefinedhost参数设置为Allow,则所有MAC绑定表的IP都不可以上网,没有绑定的都可以上网。

  验证效果 - 直接防火墙

我们配置了三个不同连接方式的MAC地址绑定,也启动MAC地址绑定了,现在我们来验证一下绑定效果。

① 直接连接防火墙内网接口5的电脑通过DHCP分配占用172.20.5.188地址,MAC绑定表了也绑定了这个地址,现在是可以正常上网的。

② 当修改了IP地址后,因为不符合MAC绑定表内容,应该是无法上网的,但是。。。。。然并卵用,还是可以上网。

③ 原因是我们虽然启动了MAC绑定,但是接口的允许MAC绑定功能没有打开,因此我们需要编辑防火墙内网接口5,将直ipmac参数设置为enable。

④ 修改完后用show命令再次查看接口内容,确定ipmac状态是enable。

⑤ 再次修改连接防火墙内网接口5的电脑IP地址,发现不能上网了,只有绑定的IP地址可以上网,MAC绑定有效。

  【注意】 接口的DHCP服务,如果没有使用MAC地址占用功能,请一定要关闭,否则会导致修改IP地址后仍可以上网。

  验证效果 - 无线路由器

我们在Mac绑定表里绑定了无线路由器的外网MAC地址,一般来说无线路由器的外网IP地址会很少改动,主要测试的是连接无线路由器的电脑因为不在MAC绑定表里,是否能上网。

① 我们将连接无线路由器的防火墙接口ipmac设置为enable。

② 笔记本电脑无线网卡连接无线路由器,可以看到IP地址和MAC地址并不在防火墙的MAC绑定表里,但是仍可以上网。连接无线路由器的任何设备都可以上网。证明防火墙无法绑定路由器后面的MAC地址。

  验证效果 - 三层交换机

我们将电脑连接在思科的三层交换机上面,交换机与防火墙连接,在防火墙连接交换机的内网接口ipmac没有打开的情况下,电脑无法上网。

① 我们将连接三层交换机的防火墙接口ipmac设置为enable。

② 虽然MAC绑定表里有记录,而且策略也允许上网,但这台电脑却无法上网。而将ipmac设置为disable时则可以上网。证明防火墙无法绑定三层交换机下面的MAC地址。

02. 禁止修改 IP 上网 ❀ 飞塔 (Fortinet5.4) 防火墙相关推荐

  1. 01. 禁止指定的 IP 上网 ❀ 飞塔 (Fortinet5.4) 防火墙

    [简介]在一个员工比较多的环境里,互联网访问需要做某些限制,最常用的限制就是哪些人员可以上互联网,哪些人员不能上互联网,我们可以通过电脑的IP地址,在防火墙上设置策略,允许或禁止某些IP地址上网.   ...

  2. 组策略禁止修改IP等网络设置

    在一些单位里,只允许部分电脑连外网,具体方式一般通过路由器设置规则,过滤MAC,IP或IP/MAC.一些童鞋们就愤懑不平了,为啥他们能上网,我们不能上,主要方式是修改IP,MAC或使用软件代理.在域控 ...

  3. 域管理中经常用到的组策略禁止修改IP及计算机名

    组策略方法:禁止修改计算机名: 1."运行"->""gpedit.msc"->"用户配置"->"管理摸 ...

  4. 如何禁止电脑随便修改IP?

    电脑修改IP,最直接的结果,会导致这个电脑不能上网,如果改成另外一台电脑的IP,那么IP会冲突,两个电脑都没法上网.这样的问题,不是大问题,但是却很麻烦,如果是想在本机禁止,网上有一水的经验和方法,就 ...

  5. 如何限制修改 IP 地址

    如何限制修改 IP 地址:如何禁止显示的本地连接属性 现在很多单位都配置了局域网, 为了便于进行网络管理, 同时为了提高的登录网络的速 度,网管人员一般都为局域网中的每台电脑都指定了 IP 地址.但是 ...

  6. 如何限制修改IP地址

    如何限制修改IP地址<?xml:namespace prefix = o ns = "urn:schemas-microsoft-com:office:office" /&g ...

  7. 从零开始学飞塔第一篇:飞塔防火墙基本上网配置(PPPoE拨号固定IP上网)FortiGate Broadband internet access

    飞塔防火墙基本上网配置一共分三个部分-----接口-----路由-----策略,且防火墙可代替路由器接入互联网.本文参考Aggy梁工的博客,已征得本人同意.首先我们讲的是PPPoE拨号上网的配置,再讲 ...

  8. 如何禁止别人修改IP地址

    注册表设置法 首先,需要将桌面上的"网上邻居"图标隐藏起来,让其他人无法通过"网上邻居"属性窗口,进入到TCP/IP参数设置界面.依次展开注册表编辑窗口中的&q ...

  9. CentOS 设置网络(修改IP 网关 DNS)上网

    目录 CentOS修改IP地址 CentOS修改网关 CentOS修改DNS 最后的配置文件 配置中遇到的问题 CentOS修改IP地址 # ifconfig eth0 192.168.1.80 这样 ...

最新文章

  1. Memcache压力测试工具 -- memslap
  2. Linux内核2.6的进程调度
  3. linux学习(3) 关机使命
  4. tableau实战系列(四十六)-如何用Tableau实现动态报表?​某咖啡店的销售数据报表(看板)​
  5. Spring事务的传播行为和隔离级别
  6. Android线程池详解
  7. android textview动态设置,android – 如何动态设置文本到TextView?
  8. Nodejs正则表达式函数之match、test、exec、search、split、replace使用详解
  9. 链表_有序链表(给数组排序-应用)
  10. Python中计算文件的MD5值
  11. 2016年度太和顾问北京高科技行业人力资本数据信息发布
  12. I00028 整数逆序
  13. 高通平台Bring-up
  14. 【干货】李航老师《统计学习方法》(第2版)清华PPT课件分享
  15. Android 中文 API——android.widget合集(中)(50篇)(chm格式)
  16. visio一分二的箭头_Microsoft Office Visio绘画双箭头直线的具体步骤介绍
  17. ftp上传下载工具,6款最值得推荐的Windows端ftp上传下载工具
  18. 新加坡最新的公共交通规划与管理经验借鉴
  19. A-Level CS 计算机科学 考试知识点——考试介绍第1章
  20. 看天下网络资讯浏览器 下载

热门文章

  1. 试算平衡表示例图_案例十一试算平衡表
  2. 大数据技术之Flume —— (1)一文入门学习Flume
  3. AI绘画网站最全收集!!
  4. 一个可以免费下载表情包的小程序
  5. 我的linux系统怎么输入pv,如何在Linux系统中使用pv命令
  6. python用链表求两数之和_python 算法 - 008 计算两个链表所代表的整数之和 (整数相加法)...
  7. (转)LRC歌词编辑攻略1
  8. 3d打印英语文献_多材料的增材制造(3D打印)
  9. Coinbase眼中的侧链和layer2解决方案
  10. 安防视频监控系统设计