Fortinet 1000 manual 为穿过防火墙的数据包配置 Ip/Mac 绑定, 为连接到防火墙的数据包配置 Ip/Mac 绑定, 165

IP/MAC 绑定可以应用于连接到防火墙的数据包或者穿过防火墙的数据包。

注意：在您启用了 IP/MAC 绑定后，如果您修改了一台电脑的 IP 地址或者 MAC 地址，且此 IP 地 址和 MAC 地址已经在 IP/MAC 绑定列表中，则您必须同时修改 IP/MAC 列表中的相应的条目。否则 这台电脑将无法访问 FortiGate 或者通过 FortiGate。您必须为网络中的新增的电脑在 IP/MAC 地址列表中添加 IP/MAC 地址对，否则这台新添加到您的网络中的电脑也无法访问 FortiGate 或 者通过 FortiGate。

本节讨论了以下内容： ·为穿过防火墙的数据包配置 IP/MAC 绑定 ·为连接到防火墙的数据包配置 IP/MAC 绑定 ·添加 IP/MAC 地址

·查看动态 IP/MAC 列表

·启用 IP/MAC 地址绑定

为穿过防火墙的数据包配置 IP/MAC 绑定

对匹配于防火墙策略，可以使用防火墙策略穿越防火墙的数据包，使用以下操作可 以对它进行 IP/MAC 绑定过滤。

1 进入 防火墙 > IP/MAC 绑定 > 设置 。

2 选择 启用经过防火墙的 IP/MAC 地址绑定 。

3 进入 防火墙 > IP/MAC 绑定 > 静态 IP/MAC。

4 单击 新建 在 IP/MAC 地址绑定列表中添加新的 IP/MAC 地址绑定对。

所有能够正常地匹配策略并通过防火墙的数据包将首先和 IP/MAC 地址绑定列表中 的条目比较，如果能够发现匹配的条目，防火墙将试图把这个数据包同策略相匹配。

例如，如果 IP 地址为 1.1.1.1 和 MAC 地址为 12:34:56:78:90:ab:cd 的 IP/MAC 地 址对已经添加到 IP/MAC 地址绑定列表了：

·一个 IP 地址为 1.1.1.1 ，MAC 地址为 12:34:56:78:90:ab:cd 的数据包将被允许到 策略列表中搜索匹配的策略。

·一个 IP 地址为 1.1.1.1， 但是使用了不同 MAC 地址的数据包将立即被丢弃，以防止 IP 欺骗攻击。

·一个使用了不同 IP 地址但是 MAC 地址是 12:34:56:78:90:ab:cd 的数据包也将被丢 弃以防止 IP 欺骗。

·如果这个数据包的 IP 地址和 MAC 地址在 IP/MAC 地址绑定列表都没有定义： ·如果 IP/MAC 绑定被设置为 允许流通，则允许它继续去匹配防火墙的策略。 ·如果 IP/AMC 绑定被设置为 阻塞流通，那么数据包将被阻塞。

为连接到防火墙的数据包配置 IP/MAC 绑定

对于可以正常连接到防火墙的数据包 （例如，管理员连接到 FortiGate 以进行管 理的时候），通过以下操作可以使用 IP/MAC 地址绑定对数据包进行过滤。

1 进入防火墙 > IP/MAC 绑定 > 设置。

2 选择启用到防火墙的 IP/MAC 绑定。

3 进入防火墙 > IP/MAC 绑定 > 静态 IP/MAC。

4 单击新建在 IP/MAC 地址列表中添加新的 IP/MAC 地址绑定对。