這個單位出于安全考慮,想對接入的用戶端電腦,全部管控防止非法接入,不希望随便外來人員進來後 配個IP 就能上網。來探讨下怎麼解決這個問題
首先我們在出口防火牆上基于IP創建一條免認證策略,源地址為已知PC機IP 免認證登錄,這些IP可直接上網
其次在防火牆上做一個any認證策略,所有内網IP都必須接受認證,否則不能上網。品一下這個邏輯,這樣就解決了非法人員拿到IP 後也需要認證上網,因為他不在允許免認證IP裡。他是通過不了認證的,自然無法上外網
防火牆這樣設置以後,如果是DHCP自動分配的地址,那麼還需要綁定IP與MAC,有才的用戶如果還要簡單點的話也可以直接設置DHCP租約一萬年這麼久也成!解決需求、這樣也能應付了!
題外話,如果這個外來人員拿的是有權限上網的IP 呢?也就是配成免認證裡的IP,那麼該怎麼解決這個問題非法冒用呢?我們往下看
先簡單看下華為的安全綁定技術,提供個正經思路給有緣人
IPSG:簡單說就是3層設備會維護生成一張表,想接入的報文必須符合這張表裡所維護的
源IP ,MAC, 接口,VLAN 都匹配 ,才會允許通過。
順手DAI是動态綁定ARP,主要防止中間人ARP攻擊,不在本文讨論之列,
如果我來管理的話 ,會做個靜态的IPSG DAI 或許可以解決 ,實在不行咱就端口一個個綁定也沒多大事!有緣人主要領會套路,具體技術細節看需求靈活使用
,更多精彩资讯请关注tft每日頭條,我们将持续为您更新最新资讯!
zpostcode 
Recruit 
weather 
mreligion 
Yellowpages 
sport 
constellation 
shopping 
name 
game 
directory 
literature 
Word 
tour 
furnish 
Lottery 
tftnews 
lyrics 
News 
digital 
car 
dir 
Edu 
Finance 
