【NGFW】【IP-MAC绑定】如何禁止手动配置IP的终端上网

2线-王鹏程发表于:2020年09月02日 18:33:28更新于:2020年09月04日 10:44:26

适配版本


产品:智慧防火墙

版本:6.1.8及以上版本

平台:平台无关

关键字

”手动配置IP无法上网“、"IPMAC绑定"

内容


在一些小型用户环境中,防火墙即是出口网关,同时也是内网网关,如下图:

image.png

用户没有NAC之类的终端准入设备,但又希望实现简单访问控制的需求:

  1. 禁止手动配置内网IP的PC或终端,联入互联网;

  2. 对指定的PC分配指定的IP,从而便于资产管理;

对于此种场景,可按如下配置验证:

  1. 防火墙充当DHCP Server,给内网PC分配IP,如下图:
    image.png

  2. 配置地址绑定,实现固定MAC的PC通过防火墙获取到指定的IP地址:
    image.png

  3. 启用DHCP服务,此时内网PC可从指定的地址池获取到IP地址及其他相应信息,而我们配置绑定过的PCA,将获取到111的IP,实现了用户的需求2:
    image.pngimage.png

  4. 安全防火墙的基础配置后,内网PC此时可正常访问互联网,但此时PC只要配置地址段内的非冲突地址都可以上外网;

  5. 为解决用户的需求1,这里可以开启防火墙的”IP-MAC绑定“功能

    方法一:手动添加绑定列表
    image.png

    方法二:通过探测,实现自动绑定。首先在”IP-MAC探测“中找到对应接口,这里为ge3,点击第一步的开始探测,在弹出的第二步处填写探测的地址段并点击”确定“,当”探测进度“为100%时,在第三步处点击查看探测结果。在弹出的”探测结果“窗口,选中对应的记录,执行”批量绑定“操作;
    image.png
    image.png

    在”绑定列表“中查看手动和自动的绑定信息
    image.png

    配置”未绑定策略“为拒绝,此时不在绑定列表中的流量过墙时会被阻断,实现用户需求1;
    image.png

注:

  • 上述为一个简单演示场景,可根据用户现场情况灵活套用;

  • 内网互访不过墙流量 ,不受上述控制;