這個機關出于安全考慮,想對接入的使用者端電腦,全部管控防止非法接入,不希望随便外來人員進來後 配個IP 就能上網。來探讨下怎麼解決這個問題
首先我們在出口防火牆上基于IP建立一條免認證政策,源位址為已知PC機IP 免認證登入,這些IP可直接上網
其次在防火牆上做一個any認證政策,所有内網IP都必須接受認證,否則不能上網。品一下這個邏輯,這樣就解決了非法人員拿到IP 後也需要認證上網,因為他不在允許免認證IP裡。他是通過不了認證的,自然無法上外網
防火牆這樣設定以後,如果是DHCP自動配置設定的位址,那麼還需要綁定IP與MAC,有才的使用者如果還要簡單點的話也可以直接設定DHCP租約一萬年這麼久也成!解決需求、這樣也能應付了!
題外話,如果這個外來人員拿的是有權限上網的IP 呢?也就是配成免認證裡的IP,那麼該怎麼解決這個問題非法冒用呢?我們往下看
先簡單看下華為的安全綁定技術,提供個正經思路給有緣人
IPSG:簡單說就是3層裝置會維護生成一張表,想接入的封包必須符合這張表裡所維護的
源IP ,MAC, 接口,VLAN 都比對 ,才會允許通過。
順手DAI是動态綁定ARP,主要防止中間人ARP攻擊,不在本文讨論之列,
如果我來管理的話 ,會做個靜态的IPSG +DAI 或許可以解決 ,實在不行咱就端口一個個綁定也沒多大事!有緣人主要領會套路,具體技術細節看需求靈活使用