【控制篇 / 绑定】(5.2) ❀ 01. MAC 地址绑定 - 命令模式 ❀ FortiGate 防火墙

原创 已于 2022-08-02 10:07:05 修改 · 1w 阅读 · 7 ·
CC 4.0 BY-SA版权
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。

于 2016-08-10 13:48:58 首次发布
本文介绍如何通过MAC地址绑定增强网络安全,防止IP地址欺骗。详细步骤包括设置接口绑定、配置MAC绑定表、设置绑定参数等,并提供了测试方法及特殊场景如无线路由器的处理方案。

摘要生成于 C知道 ,由 DeepSeek-R1 满血版支持, 前往体验 >

  【简介】将MAC地址与IP地址进行绑定,可以防止IP地址欺骗的网络攻击,IP欺骗攻击试图从不同的电脑使用一个可信计算机的IP地址连接并通过防火墙,IP地址可以很方便的改动,但MAC地址是在工厂生产时就添加到以太网卡里,很难改变,受信任的主机同时注册IP和MAC地址,就可以避免欺诈连接。

  设置 MAC 绑定接口

        要想 MAC 绑定起作用,首先需要在指定的接口下打开绑定功能。

        ① 首先查看防火墙的接口情况,这里是默认的Internal硬件交换接口;

        ② 在命令模式下使用 show system interface internal 查看internal接口状况,默认情况下并没有关于MAC绑定的配置;

        ③ 编辑 Internal 接口,打开 MAC 地址绑定功能;

        ④ 再次查看 Internal 接口,多了一个 ipmac 状态。

  配置 MAC 绑定表

        然后需要将 MAC 地址与对应的 IP 加入到表中。完整的命令格式如下:         

        【 index_int 】 输入每对 IP / MAC 绑定唯一的ID号码

        【 ip 】输入绑定到 MAC 地址上的 IP 地址

        【 mac 】 输入 MAC 地址

        【 name 】为 IP / MAC 地址表的这个条目输入一个名称 (可选)

        【 status 】选择是否启用这个 IP / MAC 地址

        ① 使用 config firewall impacbinding table命令来配置 IP 和 MAC 地址对应到 MAC 绑定表中。你可以将多个 IP 地址绑定到相同的 MAC 地址,但是你不能绑定多个 MAC 地址到相同的IP地址。

        ② 这里分别使用直连防火墙的有线网卡 MAC 地址和通过无线转接的无线网卡 MAC 地址;

        ③ 使用 config firewall ipmacbinding table命令将MAC地址及绑定的IP加入到表中;

        ④ 使用 show firewall ipmacbinding table命令可以查看表里的内容。

  设置 MAC 绑定参数

  除了打开接口绑定功能和建立绑定表之外,还需要设置绑定参数。完整的命令格式如下:       

        【 bindthroughfw 】 允许绑定的 IP 穿透防火墙

        【 bindtofw 】充许绑定 IP 到达防火墙

        【 undefinedhost 】 没有绑定的全部阻止

        ① 使用 config firewall impacbinding setting命令来设置IP的访问能力。

        ② 默认 bindthroughfw 和 bindotofw 的状态都是 disable ,undefinedhost 参数没有显示,当设置 bindthroughfw 为启用时,undefinedhost 参数才显示出来。bindthroughfw 为 enable ,就表明只有绑定MAC地址的IP是可以访问外网的。

        ③ 点击防火墙菜单【 策略&对象 】-【 对象 】-【 地址 】,新建若干地址,将IP/MAC绑定的IP地址加入其中;

        ④ 新建地址组;

        ⑤ 将绑定MAC地址的IP地址都加入;

        ⑥ 修改上网策略,在源地址处加上地址组,只有此地址组的IP才可以上网;

  MAC 绑定测试

        以上配置完成后,由于策略只允许指定的IP可以上网,因此有线网卡 MAC 地址与IP地址一致的时候,有线网卡上网是没有问题,如果修改了网卡的IP,策略会阻止上网,所以我们需要用没有绑定MAC地址的设备测试。

        ① 将一台非绑定MAC地址的网卡IP改为防火墙策略允许通过的IP地址;

        ② 访问外网时发现仍然不能通过。这就说明虽然防火墙策略允许10.0.1.88这个IP地址通过,但 IP/MAC 绑定表中没有符合的条件,仍然不允许通过。

  MAC 绑定之无线路由器

        前面测试的时候,也绑定了无线网卡的MAC地址,但是无线网卡无法上网。

        因为无线网卡连接的是无线路由器,无线路由器与防火墙之间连接的IP地址是10.0.1.254,由于MAC绑定没有加入路由器的MAC地址与IP地址,所以整个无线路由器也就无法上网。

        在绑定表里加入无线路由器的MAC地址与IP地址,发现无线网卡可以上网了,用其它无线网卡测试,也都可以上网,说明MAC地址绑定无法管理无线路由器之后的地址。

  MAC 绑定取消

        在管理网络的时候,有时需要暂时取消某台电脑的绑定,这就需要修改MAC绑定表。

        将条目的状态改为disable后,这条绑定就失效了。

  禁止指定 MAC 设备上网

        有时候因为安全需要禁止某些电脑上网,例如财务、安保电脑,那么就需要修改MAC绑定设置。

        ① 默认 undefinedhost 参数为block ,将参数设置为allow,则表示除绑定MAC地址之外的都可以上网;

        ② 新建访问外网策略,源地址选择绑MAC地址的IP地址组,动作选项DENY;

        ③ 将新建的策略置于允许访问外网的策略之上;

        ④ 将绑定MAC地址的网卡IP地址修改为10.0.1.89,防火墙策略里禁止访问外网的IP是10.0.1.88;

        ⑤ 仍然是无法访问外网,策略上并没有阻止10.0.1.89访问外网,说明是MAC绑定阻止了。

  禁止指定 MAC 设备登录防火墙

        防火墙如果知道帐号和密码的话,很容易从内网就可以登录,为了安全起见需要禁止从内访问防火墙,可以将修改MAC绑定设置。

        当修改 bindtofw 参数为enable后,所有绑定MAC地址的IP虽然可以上网,但是不能登录防火墙。

锐捷防火墙(WEB)—— 接口—端口聚合配置、IP-MAC地址绑定、软交换配置
君逍遥o
09-26 6095
该功能高端设备上支持,S3100,S3600型号不支持。 1、在带宽比较紧张的情况下,可以通过逻辑聚合可以扩展带宽到原链路的n倍 2、在需要对链路进行动态备份的情况下,可以通过配置链路聚合实现同一聚合组各个成员端口之间彼此动态备份。
运维系列&网络安全工具系列【仅供参考】:【飞塔-高级 / FortiGate-VM】(6.4) 02. 安装并启用 FortiGate VM FortiGate 防火墙
weixin_54626591的博客
06-25 772
【高级 / FortiGate-VM】(6.4) 02. 安装并启用 FortiGate VM FortiGate 防火墙
控制 / 绑定(5.4) 01. 通过 MAC 地址绑定 IP 的方式限制上网 FortiGate 防火墙
防火墙技术专栏
04-01 9694
我们已经知道了可以在策略里指定某些IP允许上网,也可以指定某些IP禁止上网,但是如果某个员工知道了某个IP是可以上网的,把他自己的电脑改成这个IP,那不是也能上网了?为了防止修改IP地址后可以上网,我们需要将IP地址与网卡的MAC地址绑定在一起,这样即使修改了IP地址,但MAC地址不符,也是不能上网的。...
交换机配置静态MAC地址
最新发布
2301_81667489的博客
07-10 313
配置好后启动所有交换机和电脑,测试pc1是否能与pc3和pc4通信,pc2是否能与pc3和pc4通信,(结果是都可以Ping通)Host-1接入位置为SW-1的Ethernet0/0/1。Host-2接入位置为SW-1的Ethernet0/0/2。Host-3接入位置为SW-2的Ethernet0/0/1。Host-4接入位置为SW-2的Ethernet0/0/2。SW-1的GE0/0/1接入位置为SW-2的GE0/0/1。Host-1的IP地址为192.168.64.20 /24。
局域网防火墙(只允许邦定了MAC地址的电脑访问本机)
10-28
使用防火墙后,在局域网中就只有邦定了MAC地址的电脑可以访问这能电脑了,本软件只针对内网,请开机就运行,修改CONFIG.INI后就再次运行防火墙修改内存中的邦定列表。
绑定mac地址
黄小北的专栏
03-26 1359
xp系统下绑定mac地址 1.开始菜单 ---->  运行 ----->  输入cmd ,  再输入ipconfig /all ,  查看你的IP地址MAC地址 2.输入arp -s ip mac 就可以将IP绑定MAC地址了。 例如: arp -s 131.1.2.26 e0-12-12-12-12-12 如果要解除绑定就输入arp -d 解除MAC地址绑定。 例如: arp -
MAC地址绑定(交换机命令大全)
热门推荐
qq_53582593的博客
05-07 1万+
MAC地址绑定 VLAN的端口成员和mac地址静态绑定: Switch(Config)mac-address-table permanent address 00-00-00-11-11-11 vlan 1 interface e 1 //将mac为00-00-00-11-11-11的pc机绑定到端口为1的vlan 1中; 使能端口mac地址绑定功能 Switch(Config)interface e 0/0/1 Switch(config-if<Ethernet1-1>)#swi.
[FortiGate] FGT-VM64-v7.2.6.F-build1575-FORTINET.out.ovf.zip
01-06
厂家:[FortiGate] 文件名:FGT_VM64-v7.2.6.F-build1575-FORTINET.out.ovf.zip 类型:VMware ESXI ovf部署
[FortiGate]FGT-VM64-v7.4.2.F-build2571-FORTINET.out.ovf.zip
01-06
FGT_VM64-v7.4.2.F-build2571-FORTINET.out.ovf.zip
FGT-VM64-v7.4.2.F-build2571-FORTINET.out
01-06
FGT_VM64-v7.4.2.F-build2571-FORTINET.out
飞塔防火墙60F-v7.2.0.F-build1157-FORTINET
04-24
FGR_60F-v7.2.0.F-build1157-FORTINET
飞塔防火墙IP+MAC绑定
09-22
飞塔防火墙IP加MAC绑定,【简介】当开启 DHCP 服务后,计算机获取 IP 地址都是根据顺序分发的,但是有时我们需要指定某台电脑为指定 IP 地址,除了在电脑上手动设置外 (这需要电脑上修改),我们还可以通过 DHCP 服务来为指定的电脑获取指定 IP 地址 (只要设置防火墙
sdn防火墙,基于mac地址
03-15
SDN 全称为Self -Defending Network,自防御网络。SDN最早由思科提出,通过安全的网络架构、安全机制、以及相关技术实现网络攻击自动发现、自动防御、自动消除威胁的网络系统。 pyretic 实现
深信服防火墙绑定配置方法
07-05
深信服防火墙NGAF7.0版本如何设置绑定配置方法的说明文档
飞塔防火墙IP地址MAC地址绑定方法介绍资料.pdf
11-02
飞塔防火墙IP地址MAC地址绑定方法介绍资料.pdf
控制 / 绑定(5.2) 02. MAC 地址绑定 - 基于 DHCP FortiGate 防火墙
防火墙技术专栏
08-11 1万+
当开启 DHCP 服务后,计算机获取 IP 地址都是根据顺序分发的,但是有时我们需要指定某台电脑为指定 IP 地址,除了在电脑上手动设置外 (这需要电脑上修改),我们还可以通过 DHCP 服务来为指定的电脑获取指定 IP 地址 (只要设置防火墙)。...
防火墙IP-MAC绑定实验
悦分享
05-05 238
在“探测结果”界面中,发现了一条记录,勾选ge2复选框,单击“批量绑定”按钮,在弹出的确认窗口中单击“确定”按钮,绑定此IP和MAC,如图所示。在“探测”界面中,单击ge2右侧“操作”列的“开始探测”图标,如图所示。(12)在“添加安全策略”界面中,输入“名称”为“IP-MAC绑定”,设置“源安全域”为trust,“目的安全域”为untrust,如图所示。(19)在“添加未绑定策略”界面中,设置“安全域”为trust,“行为”选中“拒绝”单选按钮,“IP类型”选中“IPv4”单选按钮,如图所示。
控制 / 绑定(5.2) 03. MAC 地址绑定 - 批量绑定 FortiGate 防火墙
防火墙技术专栏
11-03 6775
防火墙更换的时候经常会碰到这样的问题:老设备上有大量的路由或MAC地址绑定,即不能直接导入新防火墙,一条条重新输入又太费功夫,有没有办法可以解决呢?我们可以通过批量执行命令的方法,轻松将数据导入新防火墙...
飞塔WIFI设置MAC黑白名单连接控制
Helpdesk相关资料整理
05-20 1255
通过飞塔防火墙60F+FAP231F实现MAC地址过滤
配置飞塔401E防火墙,使用网线连接管理电脑到 FortiGate 的 MGMT但无法访问 **https://192.168.1.99**
02-07
### 解决方案 对于FortiGate 401E防火墙,在尝试通过浏览器访问管理界面遇到困难时,可能的原因涉及多个方面。具体来说: #### 接口配置确认 确保用于管理的计算机已正确连接至MGMT端口,并且该端口确实被分配了IP地址`192.168.1.99`[^1]。 #### 浏览器设置检查 验证所使用的Web浏览器是否支持HTTPS协议并能正常解析指定URL `https://192.168.1.99/` 。某些情况下,浏览器的安全策略或插件可能会阻止此类请求。 #### SSL证书问题排查 由于默认采用的是自签名SSL证书,首次登录时浏览器会提示安全警告。需手动接受此证书才能继续加载页面。如果不这样做,则可能导致看似“无法访问”的情况发生。 #### 网络连通性测试 利用命令行工具如`ping` 或者 `telnet` 来检测从客户端到服务器之间的网络路径是否畅通无阻。注意,在执行这些操作前应先确认防火墙上已经启用了相应的服务并且允许来自本地子网内的流量到达目标端口号(通常是TCP 443)。然而需要注意的是,出于安全性考量,建议仅限于内部接口开启这类诊断功能[^3]。 #### 控制台直连调试 当远程web管理不可用时,还可以考虑使用串口线缆直接连接到设备前端板上的控制台上进行初步设定调整。这一步骤尤其适用于初次部署场景下尚未完成基本网络参数初始化的情况[^2]。 ```bash # 使用 ping 命令测试与 MGMT IP 地址 (192.168.1.99) 的连通性 $ ping 192.168.1.99 # 尝试 telnet 到 HTTPS 默认端口 443, 查看是否有开放 $ telnet 192.168.1.99 443 ```
评论 2
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

飞塔老梅子

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值