这个单位出于安全考虑,想对接入的用户端电脑,全部管控防止非法接入,不希望随便外来人员进来后 配个IP 就能上网。来探讨下怎么解决这个问题
首先我们在出口防火墙上基于IP创建一条免认证策略,源地址为已知PC机IP 免认证登录,这些IP可直接上网
其次在防火墙上做一个any认证策略,所有内网IP都必须接受认证,否则不能上网。品一下这个逻辑,这样就解决了非法人员拿到IP 后也需要认证上网,因为他不在允许免认证IP里。他是通过不了认证的,自然无法上外网
防火墙这样设置以后,如果是DHCP自动分配的地址,那么还需要绑定IP与MAC,有才的用户如果还要简单点的话也可以直接设置DHCP租约一万年这么久也成!解决需求、这样也能应付了!
题外话,如果这个外来人员拿的是有权限上网的IP 呢?也就是配成免认证里的IP,那么该怎么解决这个问题非法冒用呢?我们往下看
先简单看下华为的安全绑定技术,提供个正经思路给有缘人
IPSG:简单说就是3层设备会维护生成一张表,想接入的报文必须符合这张表里所维护的
源IP ,MAC, 接口,VLAN 都匹配 ,才会允许通过。
顺手DAI是动态绑定ARP,主要防止中间人ARP攻击,不在本文讨论之列,
如果我来管理的话 ,会做个静态的IPSG +DAI 或许可以解决 ,实在不行咱就端口一个个绑定也没多大事!有缘人主要领会套路,具体技术细节看需求灵活使用