设为首页收藏本站language 语言切换
开启辅助访问 切换到宽版

鸿鹄论坛

 找回密码
 论坛注册

QQ登录

先注册再绑定QQ

鸿鹄论坛»鸿鹄论坛 ≡□≡华为认证≡□≡ HCIA学习资料 华为防火墙配置IP-MAC绑定
返回列表 发新帖
查看: 3859|回复: 2
收起左侧

[分享] 华为防火墙配置IP-MAC绑定

[复制链接]
小乔
 成长值: 63400
发表于 2020-2-13 14:08:49 | 显示全部楼层 |阅读模式
IP地址与MAC地址绑定是指USG根据用户的配置,令IP地址与MAC地址之间建立对应的关系。利用此功能,USG可有效地防范IP地址冒用及ARP欺骗等攻击行为。本例中,通过将用户机的IP地址和指定MAC地址绑定,实现了对IP报文的过滤功能。

组网需求
USG部署在某公司的出口,公司内部的服务器为外部的客户机提供服务。组网需求如下:
服务器和客户机分别位于防火墙的DMZ区域和Untrust区域。服务器的IP地址为192.168.1.2/24,客户机的IP地址为202.38.169.2/24,客户机的MAC地址为0001-0002-0003。
为了防止假冒IP地址攻击服务器,需要配置IP地址和MAC地址绑定功能。如果报文的源IP地址为202.38.169.2/24,那么只有当该报文的源MAC地址为0001-0002-0003时,IP报文才能通过USG。
配置IP-MAC绑定的组网图如图1所示。
1.jpg

配置思路
1根据网络规划为USG分配接口IP地址,并将接口加入相应的安全区域。
2配置域间包过滤策略,保证相应域间可以进行正常通信。
3将特定客户机的IP地址和MAC地址绑定,建立对应关系。
4开启地址绑定功能,否则USG将不会对IP报文进行过滤。

操作步骤
1配置各个接口的IP地址,并划入相应的安全区域。
<USG> system-view
[USG] interface GigabitEthernet 0/0/0
[USG-GigabitEthernet0/0/0] ip address 192.168.1.1 24
[USG-GigabitEthernet0/0/0] quit
[USG] interface GigabitEthernet 0/0/1
[USG-GigabitEthernet0/0/1] ip address 202.38.169.1 24
[USG-GigabitEthernet0/0/1] quit
[USG] firewall zone dmz
[USG-zone-dmz] add interface GigabitEthernet 0/0/0
[USG-zone-dmz] quit
[USG] firewall zone untrust
[USG-zone-untrust] add interface GigabitEthernet 0/0/1
[USG-zone-untrust] quit
2配置域间包过滤。创建一条DMZ与Untrust域间的policy,使指定客户机可以访问服务器。
[USG] policy interzone dmz untrust inbound
[USG-policy-interzone-dmz-untrust-inbound] policy 0
[USG-policy-interzone-dmz-untrust-inbound-0] policy source 202.38.169.2 0
[USG-policy-interzone-dmz-untrust-inbound-0] action permit
[USG-policy-interzone-dmz-untrust-inbound-0] quit
[USG-policy-interzone-dmz-untrust-inbound] quit
3配置IP地址和MAC地址绑定功能。缺省情况下,地址绑定功能是关闭的,但无论功能是否被开启,都可以进行地址绑定关系的插入和删除操作。
[USG] firewall mac-binding 202.38.169.2 0001-0002-0003
4开启IP地址和MAC地址绑定功能。开启功能后,USG会对报文进行IP地址和MAC地址绑定关系的比较,并对不符合绑定关系的报文进行过滤。
[USG] firewall mac-binding enable

结果验证
可以通过命令display firewall mac-binding item来查看USG地址绑定功能的运行状况和地址绑定表项信息。
[USG] display firewall mac-binding item
11:27:16  2011/09/16
Firewall mac-binding items :
Current items : 1
IP ADDRESS      MAC ADDRESS     VLAN-ID        VPN-INSTANCE
202.38.169.2    0001-0002-0003  0                        
从屏显信息中可以看到,IP地址202.38.169.2和MAC地址0001-0002-0003为绑定关系。

配置脚本
以下仅给出与本案例有关的脚本。
#
sysname USG
#
interface GigabitEthernet0/0/0
ip address 192.168.1.1 255.255.255.0
#
interface GigabitEthernet0/0/1
ip address 202.38.169.1 255.255.255.0
#
firewall zone untrust
set priority 5
add interface GigabitEthernet0/0/1
#
firewall zone dmz
set priority 50
add interface GigabitEthernet0/0/0
#
firewall interzone dmz untrust
#
firewall mac-binding enable
firewall mac-binding 202.38.169.2 0001-0002-0003
#
policy interzone dmz untrust inbound
policy 0
  action permit
  policy source 202.38.169.2 0
#
return




评分

参与人数 1好评度 +1 收起 理由
13609293794 + 1

查看全部评分

回复

使用道具 举报

13609293794
发表于 2020-3-6 18:57:32 | 显示全部楼层
好好好好好好好好好好好好好好好好好好好好好好好好好好好好好好好好好好好好好好好好好好好好好好好好好好好好好好好好好好好好好好好好好好好好好好好好好好好好好好好好好好好好好好好好好好好好好好好好好好好好好好好好好好好好好好好好好好好好好好好好好好好好好好好好好好好好好好好好好好好好好好好好好好好好好好好好好好好好好好好好好好好好好好好好好好好好好好好好
沙发 2020-3-6 18:57:32 回复 收起回复
回复 支持 反对

使用道具 举报

返回列表 发新帖
高级模式
B Color Image Link Quote Code Smilies
您需要登录后才可以回帖 登录 | 论坛注册

本版积分规则

QQ|Archiver|手机版|小黑屋|sitemap|鸿鹄论坛 ( 京ICP备14027439号 )  

GMT+8, 2025-2-2 13:49 , Processed in 0.061471 second(s), 14 queries , Redis On.  

  Powered by Discuz!

  © 2001-2025 HH010.COM

快速回复 返回顶部 返回列表