华为防火墙配置IP-MAC绑定
IP地址与MAC地址绑定是指USG根据用户的配置,令IP地址与MAC地址之间建立对应的关系。利用此功能,USG可有效地防范IP地址冒用及ARP欺骗等攻击行为。本例中,通过将用户机的IP地址和指定MAC地址绑定,实现了对IP报文的过滤功能。组网需求
USG部署在某公司的出口,公司内部的服务器为外部的客户机提供服务。组网需求如下:
服务器和客户机分别位于防火墙的DMZ区域和Untrust区域。服务器的IP地址为192.168.1.2/24,客户机的IP地址为202.38.169.2/24,客户机的MAC地址为0001-0002-0003。
为了防止假冒IP地址攻击服务器,需要配置IP地址和MAC地址绑定功能。如果报文的源IP地址为202.38.169.2/24,那么只有当该报文的源MAC地址为0001-0002-0003时,IP报文才能通过USG。
配置IP-MAC绑定的组网图如图1所示。
配置思路
1根据网络规划为USG分配接口IP地址,并将接口加入相应的安全区域。
2配置域间包过滤策略,保证相应域间可以进行正常通信。
3将特定客户机的IP地址和MAC地址绑定,建立对应关系。
4开启地址绑定功能,否则USG将不会对IP报文进行过滤。
操作步骤
1配置各个接口的IP地址,并划入相应的安全区域。
<USG> system-view
interface GigabitEthernet 0/0/0
ip address 192.168.1.1 24
quit
interface GigabitEthernet 0/0/1
ip address 202.38.169.1 24
quit
firewall zone dmz
add interface GigabitEthernet 0/0/0
quit
firewall zone untrust
add interface GigabitEthernet 0/0/1
quit
2配置域间包过滤。创建一条DMZ与Untrust域间的policy,使指定客户机可以访问服务器。
policy interzone dmz untrust inbound
policy 0
policy source 202.38.169.2 0
action permit
quit
quit
3配置IP地址和MAC地址绑定功能。缺省情况下,地址绑定功能是关闭的,但无论功能是否被开启,都可以进行地址绑定关系的插入和删除操作。
firewall mac-binding 202.38.169.2 0001-0002-0003
4开启IP地址和MAC地址绑定功能。开启功能后,USG会对报文进行IP地址和MAC地址绑定关系的比较,并对不符合绑定关系的报文进行过滤。
firewall mac-binding enable
结果验证
可以通过命令display firewall mac-binding item来查看USG地址绑定功能的运行状况和地址绑定表项信息。
display firewall mac-binding item
11:27:162011/09/16
Firewall mac-binding items :
Current items : 1
IP ADDRESS MAC ADDRESS VLAN-ID VPN-INSTANCE
202.38.169.2 0001-0002-00030
从屏显信息中可以看到,IP地址202.38.169.2和MAC地址0001-0002-0003为绑定关系。
配置脚本
以下仅给出与本案例有关的脚本。
#
sysname USG
#
interface GigabitEthernet0/0/0
ip address 192.168.1.1 255.255.255.0
#
interface GigabitEthernet0/0/1
ip address 202.38.169.1 255.255.255.0
#
firewall zone untrust
set priority 5
add interface GigabitEthernet0/0/1
#
firewall zone dmz
set priority 50
add interface GigabitEthernet0/0/0
#
firewall interzone dmz untrust
#
firewall mac-binding enable
firewall mac-binding 202.38.169.2 0001-0002-0003
#
policy interzone dmz untrust inbound
policy 0
action permit
policy source 202.38.169.2 0
#
return
好好好好好好好好好好好好好好好好好好好好好好好好好好好好好好好好好好好好好好好好好好好好好好好好好好好好好好好好好好好好好好好好好好好好好好好好好好好好好好好好好好好好好好好好好好好好好好好好好好好好好好好好好好好好好好好好好好好好好好好好好好好好好好好好好好好好好好好好好好好好好好好好好好好好好好好好好好好好好好好好好好好好好好好好好好好好好好好好 {:6_267:}{:6_267:}{:6_267:}{:6_267:}
页:
[1]