Filter
Top Products
防火墙配置 IP/MAC 绑定
FortiGate-300 安装和配置指南
161
例如,如果 IP 地址为 1.1.1.1 和 MAC 地址为 12:34:56:78:90:ab:cd 的 IP/MAC 地
址对已经添加到 IP/MAC 地址绑定列表了:
·一个 IP 地址为 1.1.1.1 ,MAC 地址为 12:34:56:78:90:ab:cd 的数据包将被允许到
策略列表中搜索匹配的策略。
·一个 IP 地址为 1.1.1.1, 但是使用了不同 MAC 地址的数据包将立即被丢弃,以防止
IP 欺骗攻击。
·一个使用了不同 IP 地址但是 MAC 地址是 12:34:56:78:90:ab:cd 的数据包也将被丢
弃以防止 IP 欺骗。
·如果这个数据包的 IP 地址和 MAC 地址在 IP/MAC 地址绑定列表都没有定义:
·如果 IP/MAC 绑定被设置为
允许流通,则允许它继续去匹配防火墙的策略。
·如果 IP/AMC 绑定被设置为 阻塞流通,那么数据包将被阻塞。
为连接到防火墙的数据包配置 IP/MAC 绑定
对于可以正常连接到防火墙的数据包 (例如,管理员连接到 FortiGate 以进行管
理的时候), 通过以下操作可以使用 IP/MAC 地址绑定对数据包进行过滤。
1 进入防火墙 > IP/MAC 绑定 > 设置。
2 选择启用到防火墙的 IP/MAC 绑定。
3 进入防火墙 > IP/MAC 绑定 > 静态 IP/MAC。
4 单击新建在 IP/MAC 地址列表中添加新的 IP/MAC 地址绑定对。
所有能正常连接到防火墙的数据包都将首先在 IP/MAC 绑定列表中查找匹配的
IP/MAC 地址对。
例如,如果 IP 地址为 1.1.1.1 和 MAC 地址为 12:34:56:78:90:ab:cd 的 IP/MAC 地
址对已经添加到 IP/MAC 地址绑定列表了:
·一个 IP 地址为 1.1.1.1 ,MAC 地址为 12:34:56:78:90:ab:cd 的数据包将被允许连
接到防火墙
·一个 IP 地址为 1.1.1.1, 但是使用了不同 MAC 地址的数据包将立即被丢弃,以防止
IP 欺骗攻击。
·一个使用了不同 IP 地址但是 MAC 地址是 12:34:56:78:90:ab:cd 的数据包也将被丢
弃以防止 IP 欺骗。
·如果这个数据包的 IP 地址和 MAC 地址在 IP/MAC 地址绑定列表都没有定义:
·如果 IP/MAC 绑定被设置为允许流通,则允许它连接到防火墙 。
·如果 IP/AMC 绑定被设置为阻塞流 通,那么数据包将被阻塞。
添加 IP/MAC 地址
1 进入防火墙 > IP/MAC 绑定 > 静态 IP/MAC。
2 单击新建以添加 IP 地址 /MAC 地址对。
3 输入 IP 地址和对应的 MAC 地址。
可以在同一个 MAC 地址上绑定多个 IP 地址。但是不能把多个 MAC 地址绑定到同一个
IP 地址上。
然而,您可以为多个 MAC 地址设置 IP 地址为 0.0.0.0 的绑定。这意味着来自这些地
址的所有数据包都可以匹配 IP/MAC 地址绑定列表。
类似地,您也可以为多个 IP 地址设置 MAC 地址为 00:00:00:00:00:00 的 IP 地址绑定。
这意味着所有来自这些 IP 地址的数据包都可以匹配 IP/MAC 地址绑定列表。