文档编号:154
浏览:11122 评分:36
最后更新于:2008-08-20
本节主要讲述高级配置—>IP/MAC绑定的配置方法。
IP/MAC绑定功能介绍
IP/MAC绑定概述
要实现网络安全管理,首先必须解决用户的身份识别问题,然后才能进行必要的业务授权工作。在防火墙—>访问控制策略中,我们详细地介绍了如何实现对局域网用户上网行为的控制。在本节,我们将介绍如何解决用户的身份识别问题。
在设备中,通过IP/MAC绑定功能完成用户的身份识别工作。使用绑定的IP/MAC地址对作为用户唯一的身份识别标识,可以保护设备和网络不受IP欺骗的攻击。IP欺骗攻击是一台主机企图使用另一台受信任的主机的IP地址连接到设备或者通过设备。这台电脑的IP地址可以轻易地改变为受信任的地址,但是MAC地址是由生产厂家添加到以太网卡上的,不能轻易地改变。
通过在“IP/MAC绑定配置”中添加可信的计算机的静态IP地址和对应的MAC地址,即可在“IP/MAC绑定信息列表”中形成对应的IP/MAC地址对条目。注意,在“IP/MAC绑定信息列表”中,还可设置IP/MAC绑定条目的上网状态,从而控制对应的IP/MAC绑定用户是否可以上网。当某个IP/MAC绑定条目选中“允许”时(方框中出现“√”),表示上网状态为“允许”,即允许与该IP/MAC地址对完全匹配的用户上网;未选中“允许”时(方框中没有“√”),表示上网状态为“禁止”,即禁止与该IP/MAC地址对完全匹配的用户上网。
为方便起见,我们先介绍一下设备中,合法用户、非法用户及身份未知用户的概念。
合法用户:其IP及MAC地址与“IP/MAC绑定信息列表”中的某条目的IP及MAC地址完全匹配,且该条目的“允许”被选中。
非法用户:其IP及MAC地址与“IP/MAC绑定信息列表”中的某条目的IP及MAC地址完全匹配,且该条目的“允许” 未被选中;或者,其IP和MAC地址中有且只有一个某绑定条目的对应信息匹配。
身份未知用户:即非IP/MAC绑定用户,其IP或MAC地址均不与“IP/MAC绑定信息列表”中的任何条目的IP或MAC地址匹配,也就是除合法用户以及非法用户之外的所有用户。
对于身份未知的用户,是在IP/MAC绑定全局设置中统一控制的。如果选中“允许非IP/MAC绑定用户”,就表示允许这些用户连接或者通过设备;如果没有选中“允许非IP/MAC绑定用户”,就表示禁止这些用户连接或者通过设备。
IP/MAC绑定应用于来自于局域网内部,连接到设备的数据包或者通过设备上网的数据包。当局域网用户有数据流量连接和通过设备时,将首先和“IP/MAC绑定信息列表”中的条目相比较,即进行身份识别;之后,根据用户身份的不同,来自该用户的数据包将被丢弃或进入IP业务管理功能模块处理(即继续去匹配业务策略)。具体描述如下:
1. 如果该用户是合法用户,则允许该数据包通过,并继续去匹配业务策略;
2. 如果该用户是非法用户,则丢弃该数据包;
3. 如果该用户身份未知,则根据IP/MAC绑定全局配置执行:
1) 若允许身份未知用户,即选中“允许非IP/MAC绑定用户”时,则允许该数据包通过,并继续去匹配业务策略;
2) 若禁止身份未知用户,即没有选中“允许非IP/MAC绑定用户”时,则丢弃该数据包。
例如,如果某用户IP/MAC地址对192.168.16.221和00:22:aa:00:22:bb已经添加到“IP/MAC绑定信息列表”,且上网状态为“允许”(方框中出现“√”),如下图所示:
IP/MAC绑定信息列表——实例一
那么,当设备接收到来自局域网的数据包时,将会根据以下几种情况处理:
1. 一个IP地址为192.168.16.221,MAC地址为00:22:aa:00:22:bb的数据包将被允许通过,并继续去匹配业务策略;
2. 一个IP地址为192.168.16.221,但是使用了其他MAC地址的数据包将立即被丢弃,以防止IP欺骗攻击;
3. 一个使用了其他IP地址,但是MAC地址是00:22:aa:00:22:bb的数据包也将被丢弃,以防止IP欺骗攻击;
4. 如果这个数据包的IP地址和MAC地址在“IP/MAC绑定信息列表”都没有定义:
1) 如果选中“允许非IP和MAC绑定用户”,则允许该数据包通过,并继续去匹配业务策略。
2) 如果没有选中“允许非IP和MAC绑定用户”,则禁止该数据包通过。
如果希望禁止该用户上网,则可以直接取消“允许”的选中,即可将其上网状态改为“禁止”,如下图所示。这时,IP地址为192.168.16.221,MAC地址为00:22:aa:00:22:bb的数据包将被丢弃,其他情况下设备对数据包的处理同上。
IP/MAC绑定信息列表——实例二
注意,在启用了IP/MAC绑定功能之后,如果修改了一台电脑的IP地址或者MAC地址,而且此IP地址和MAC地址已经在“IP/MAC绑定信息列表”中,则必须同时修改“IP/MAC绑定信息列表”中的相应的条目。否则这台电脑将无法访问设备或者通过设备。当未选中“允许非IP/MAC绑定用户”时,如果希望局域网中新增的主机可以访问或通过设备,则必须为该主机在“IP/MAC绑定信息列表”中添加IP/MAC绑定地址对,并选中“允许”,即允许该主机上网。
IP/MAC绑定功能只能影响用户访问设备或通过设备访问其他网络(如Internet),但不能影响局域网内部通信(或不经过该设备的通信)。如果用户修改了IP或MAC,将有可能无法访问设备或通过设备访问其他网络(如Internet),但是不会影响局域网内部通信,比如网络邻居浏览。
用户名:欲进行IP和MAC地址绑定的用户名称。自定义,不能重复,取值范围:1~31个字符;
IP地址:该用户的IP地址(可使用ipconfig /all命令获得);
MAC地址:该用户的MAC地址(可使用ipconfig /all命令获得)。
保存:IP/MAC绑定用户配置参数生效;
重填:恢复到修改前的配置参数;
读ARP表:显示LAN口的动态ARP列表,即设备通过LAN口动态学习到的用户的ARP信息。注意,如果已经将某用户的IP/MAC地址对添加到“IP/MAC绑定信息列表”中,该用户的IP/MAC地址对将不再显示。
<==(向左箭头):用于自动添加IP/MAC绑定条目。在动态ARP列表中,先选中一个IP/MAC地址对,比如200.200.200.139(00:07:95:a8:1c:3d),再双击它或单击“<==”按钮,相关信息即可填充到配置框中(“用户名”也被IP地址填充,可修改),然后单击“保存”按钮,即可将之添加到“IP/MAC绑定信息列表”中;
IP/MAC全部绑定:若希望一次性将局域网主机的IP/MAC地址对全部绑定,则可以直接单击“IP/MAC全部绑定”超链接,转到安全配置—>ARP欺骗防御页面,然后在“动态ARP表”中执行全部绑定操作。
允许非IP/MAC绑定用户:允许或禁止非IP/MAC绑定用户连接到设备。
保存:IP/MAC绑定全局配置参数生效;
重填:恢复到修改前的配置参数;
导出ARP绑定脚本文件:单击“导出ARP绑定脚本文件”超链接,即可下载ARP绑定脚本文件到本地主机。运行该文件并重启主机,可将设备的LAN口ARP信息添加主机中,从而防止ARP欺骗。
提示:当决定取消“允许非IP/MAC绑定用户”功能前,必须确认管理计算机已经被添加到“IP/MAC绑定信息列表”中,否则将会造成管理计算机无法连接到设备的现象。
IP/MAC绑定信息列表
查看:在“IP/MAC绑定信息列表”中可以查看已配置绑定的用户信息,包括用户名、IP地址、MAC地址、绑定类型等信息;
编辑:如果想编辑某个IP/MAC绑定条目,只需单击该条目的“用户名”或“编辑”超链接,其信息就会填充到相应的编辑框内,可修改用户名和MAC地址,再单击“保存”按钮,修改完毕;如果想编辑某个IP/MAC绑定条目的上网状态,则只需直接单击“允许”列中的方框,即可修改。选中“允许”时,表示上网状态为“允许”,即允许与该条目完全匹配的用户上网;未选中“允许”时,表示上网状态为“禁止”,即禁止与该条目完全匹配的用户上网;
删除:选中一些IP/MAC绑定条目,在列表右下方的下拉框中选择“删除”选项,并单击“GO”按钮,即可删除被选中的条目;
IP/MAC全部删除:选中一些绑定类型为“IP/MAC”的IP/MAC绑定条目,在列表右下方的下拉框中选择“IP/MAC全部删除”选项,并单击“GO”按钮,即可删除被选中的条目;
DHCP全部删除:选中一些绑定类型为“DHCP”的IP/MAC绑定条目,在列表右下方的下拉框中选择“DHCP全部删除”选项,并单击“GO”按钮,即可删除被选中的条目。
配置IP/MAC绑定条目的步骤如下:
第一步,进入高级配置—>IP/MAC绑定页面;
第二步,选择“添加”选项,输入 “用户名”(自定义)、“IP地址”和“MAC地址”,然后单击“保存”按钮;或者,通过动态ARP列表来添加用户。
第三步,该IP/MAC绑定条目添加成功后,可以在“IP/MAC绑定信息列表”中查看,对于匹配该条目的数据包,将被允许连接或者通过设备。如果在防火墙—>访问控制策略中为该用户配置了访问控制策略,这些数据包还将继续去匹配这些策略;
第四步,继续配置其他IP/MAC绑定条目;
第五步,如果要禁止身份未知的用户连接或者是通过设备,则需取消“允许非IP/MAC绑定用户”的选中,然后单击“保存”按钮。否则的话,身份未知的用户也将被允许连接或者是通过设备;
第六步,如果要暂时禁止某个IP/MAC绑定用户上网,则可在“IP/MAC绑定信息列表”中修改对应条目的上网状态,即取消“允许”的选中,则表示禁止与该条目完全匹配的用户上网。
当配置完IP/MAC绑定之后,所有发送到设备的数据包将首先和“IP/MAC绑定信息列表”中的条目相比较。然后根据相关配置,该数据包将被丢弃或进入IP业务管理功能模块处理。
灵活地运用IP/MAC绑定功能,可以为局域网用户配置上网“白名单”和“黑名单”。
通过配置上网“白名单”,将只允许“白名单”中的用户通过设备上网,禁止其他所有用户通过设备上网。因此,如果要求只允许局域网中的少数用户上网,可通过配置上网“白名单”来实现。
通过配置上网“黑名单”,将只禁止“黑名单”中的用户通过设备上网,允许其他所有用户通过设备上网。因此,如果要求只禁止局域网中的少数用户上网,可通过配置上网“黑名单”来实现。
在设备中,“白名单”中的用户即为合法用户——其IP及MAC地址与“IP/MAC绑定信息列表”中的某条目完全匹配,且该条目选中“允许”。
“黑名单”中的用户即为非法用户——其IP及MAC地址与“IP/MAC绑定信息列表”中的某条目完全匹配,且该条目没有选中“允许”;或者,其IP和MAC地址中有且只有一个与某个绑定条目的对应信息匹配。
为局域网用户配置上网“白名单”,步骤如下:
第一, 通过配置IP/MAC绑定条目来指定合法用户,将具有上网权限的主机的IP地址和MAC地址作为IP/MAC地址绑定对,并添加到“IP/MAC绑定信息列表”中,还需选中“允许”,即允许与该IP/MAC地址对完全匹配的用户上网。
第二, 不选中“允许非IP/MAC绑定用户”,从而,其他所有不在“IP/MAC绑定信息列表”中的主机将不能上网。
例如,如果要允许某个IP地址为192.168.16.2,MAC地址为0022aa112233的主机连接和通过设备,则可添加一个IP/MAC绑定条目,输入该主机的IP地址和MAC地址,并选中“允许”,如下表所示。
IP/MAC绑定信息列表——实例三
为局域网用户配置上网“黑名单”,步骤如下:
第一, 通过配置IP/MAC绑定条目来指定非法用户,有三种方法:
1. 将禁止上网的主机的IP地址和任意一个非本局域网网卡的MAC地址作为IP/MAC地址绑定对,并添加到“IP/MAC绑定信息列表”中;
2. 将禁止上网的主机的MAC地址和任意一个非本局域网网段的IP地址作为IP/MAC地址绑定对,并添加到“IP/MAC绑定信息列表”中;
3. 可将禁止上网的主机的IP地址和MAC地址作为IP/MAC地址绑定对,添加到“IP/MAC绑定信息列表”中,并取消“允许”的选中(方框中无“√”),即禁止与该IP/MAC地址对完全匹配的用户上网。
第二, 选中“允许非IP/MAC绑定用户”,从而,其他所有IP地址和MAC地址均不在“IP/MAC绑定信息列表”中的主机将能够上网。
例如,如果要禁止具有某个MAC地址(例如002244002244)的主机连接和通过设备,可以添加一个IP/MAC地址绑定对,输入该MAC地址,而IP地址则设置成一个任意的非本局域网的IP地址,如下表所示。
IP/MAC绑定信息列表——实例四
例如,如果要禁止具有某个IP地址(例如192.168.16.100)的主机访问和连接设备,可以添加一个IP/MAC地址绑定对,输入该IP地址,而MAC地址则设置成任意一个非本局域网网卡的MAC地址,如下表所示。
IP/MAC绑定信息列表——实例五
例如,如果要禁止某个IP地址为192.168.16.88,MAC地址为0022aa112233的主机连接和通过设备,则可添加一个IP/MAC地址绑定对,输入该主机的IP地址和MAC地址,并取消“允许”的选中(方框中无“√”),如下表所示。
IP/MAC绑定信息列表——实例六