160
美国飞塔有限公司
IP/MAC 绑定 防火墙配置
IP/MAC 绑定IP/MAC 绑定可以保护 FortiGate和您 的网络不受IP欺骗的攻击。IP 欺骗攻击是
一台主机企图使用另一台受信任的主机的 IP 地址连接到 FortiGate 或者通过
FortiGate。这个电脑的IP 地址可以轻易地改变为受信任的地址,但是MAC地址是由
生产厂家添加到以太网卡上的,不能轻易地改变。
您可以在静态 IP/MAC 地址表中输入可信的电脑的静态 IP 地址和对应的MAC 地址。
如果您有一台受信任的主机,它使用的是FortiGate DHCP 服务器设置的动态IP地
址,FortiGate 设备会将这些 IP 地址和它们对应的MAC 地址添加到动态IP/MAC 表。请
见 第 116 页 “ 在您的内部网络中提供DHCP 服务” 。动态IP/MAC 绑定列表在透明
模式下不可用。
IP/MAC 绑定可以应用于连接到防火墙的数据包或者穿过防火墙的数据包。
本节讨论了以下内容:
·为穿过防火墙的数据包配置 IP/MAC 绑定
·为连接到防火墙的数据包配置 IP/MAC 绑定
·添加 IP/MAC 地址
·查看动态IP/MAC 列表
·启用 IP/MAC 地址绑定
为穿过防火墙的数据包配置 IP/MAC 绑定
对匹配于防火墙策略,可以使用防火墙策略穿越防火墙的数据包,使用以下操作可
以对它进行IP/MAC 绑定过滤。
1进入 防火墙 > IP/MAC 绑定 > 设置 。
2选择 启用经过防火墙的 IP/MAC 地址绑定 。
3进入 防火墙 > IP/MAC 绑定 > 静态 IP/MAC。
4单击 新建 在IP/MAC 地址绑定列表中添加新的 IP/MAC地址绑 定对。
所有能够正常地匹配策略并通过防火墙的数据包将首先和IP/MAC 地址绑定列表中
的条目比较,如果能够发现匹配的条目,防火墙将试图把这个数据包同策略相匹配。
注意:在您启用了IP/MAC 绑定后,如果您修改了一台电脑的IP 地址或者 MAC 地址,且此 IP 地
址和MAC 地址已经在 IP/MAC 绑定列表中,则您必须同时修改 IP/MAC 列表中的相应的条目。否则
这台电脑将无法访问 FortiGate 或者通过FortiGate。您必须为网络中的新增的电脑在IP/MAC
地址列表中添加 IP/MAC 地址对,否则这台新添加到您的网络中的电脑也无法访问 FortiGate或
者通过FortiGate。