本节主要讲述设备中,IP/MAC绑定、工作组与访问控制策略三者的特点及其关系,目的是帮助大家更好地理解它们,并灵活地利用它们实现对用户上网行为的控制、加强网络的安全性。
要实现网络安全管理,首先必须解决用户的身份识别问题,然后才能进行必要的业务授权(访问控制管理)工作。在设备中,通过IP/MAC绑定功能解决用户的身份识别问题,通过访问控制管理功能实现对用户上网行为的控制。
A. IP/MAC绑定
在IP/MAC绑定中,通过IP/MAC地址绑定功能完成用户的身份识别工作。使用绑定的IP/MAC地址作为用户唯一的身份识别标识,可以防止IP地址盗用、MAC地址盗用以及IP/MAC欺骗等常见攻击。
对于没有明确身份鉴别要求(即没有进行IP/MAC地址绑定)的用户,系统默认的用户全局策略是允许访问。如果将此策略设为禁止,即在高级配置—>
IP/MAC绑定的“IP/MAC绑定全局配置”中,不选中“允许非IP/MAC绑定用户”,那么将会拒绝所有身份无法识别的用户使用设备。
IP/MAC绑定功能只能影响用户访问设备或通过设备访问其他网络(如Internet),但不能影响局域网内部通信(或不经过该设备的通信)。也就是说,如果IP/MAC绑定用户修改了IP或MAC,将不能访问设备或通过设备访问其他网络(如Internet),但是不能影响局域网内部通信,比如网络邻居浏览。
B. 工作组/地址组
1. 工作组
若干上网要求相同的局域网用户构成一个工作组,一个工作组通常包括多个IP地址连续的用户。这里,允许定义只有一个用户(工作组的起始IP地址和结束IP地址相同)的特殊工作组,我们将之称为个人用户。
2. 地址组
将若干访问要求相同的不连续的IP地址段组成一个地址组,一个地址组可包含多个IP地址段或其他地址组。
C. 访问控制策略
在访问控制策略(普通视图)中,通过定义工作组、服务端口、协议、时间段等元素来实现对局域网中各工作组用户上网行为的控制,设置各工作组用户的各种上网权限和时间。
在访问控制策略(高级视图)中,通过引用地址组、服务组、时间段等元素来实现对局域网用户或外网用户访问设备物理接口的控制。
D. 三者关系
1) IP/MAC绑定只能完成用户身份识别、不能控制用户上网行为,用户上网行为的控制是通过访问控制管理功能完成的;
2) 工作组/地址组由若干上网要求相同的用户组成;
3)
访问控制管理功能是一般是针对工作组/地址组用户创建访问控制策略来实现的,同一个工作组/地址组的用户的上网权限完全相同,从而,你只需为工作组/地址组定义访问控制策略,而无需为每个用户分别定义访问控制策略。同时,如有需要,也可针对个人用户创建访问控制策略;
4)
在设备中,首先通过IP/MAC绑定功能解决用户身份识别问题,然后将上网业务要求相同的用户划分在同一个工作组/地址组中,再通过对工作组/地址组用户(及个人用户)定义不同的访问控制策略。这样,不仅实现了对用户身份的识别,还实现了对用户上网行为(包括上网权限和时间)的控制,从而保证了网络资源的有效利用及网络的安全性。
E. 功能实现过程
当用户有数据流量通过设备时,顺序发生以下动作:
1) 用户身份识别
a) 如果是合法用户通过,该数据包进入IP访问控制管理处理;
b) 如果用户身份非法,丢弃该数据包;
c) 如果用户身份未知,根据系统的用户全局策略执行:
i. 若允许未知用户,即在高级配置—> IP/MAC绑定中,选中“允许非IP/MAC绑定用户”时,让该数据包通过,
进入IP业务管理处理;
ii. 若禁止未知用户,即在高级配置—> IP/MAC绑定中,不选中“允许非IP/MAC绑定用户”时,丢弃该数据包。
提示:
a) 合法用户指:其IP地址和MAC地址与高级配置—>
IP/MAC绑定的“IP/MAC绑定信息列表”中的某条目的IP地址和MAC地址完全匹配,且该条目的上网状态为“允许”。
b)
不合法用户:其IP地址和MAC地址中只有一个与“IP/MAC绑定信息列表”中的某条目的IP地址或MAC地址匹配,另一个则不匹配;或者,其IP地址和MAC地址与“IP/MAC绑定信息列表”中的某条目的IP地址和MAC地址完全匹配,且上网状态为“禁止”。
c)
身份未知用户:其IP地址或MAC地址均不与“IP/MAC绑定信息列表”中的任何条目的IP地址或MAC地址匹配,也就是除合法用户以及非法用户之外的所有用户。
2) 访问控制管理处理流程(包括时间段控制)
设备将从防火墙—>访问控制策略的“访问控制信息列表”的顶端开始向下搜索该表,查找第一个与数据包的源地址、目的地址、协议、目的端口、源端口以及接收到数据包请求的时间相匹配的策略。匹配的第一个策略将被应用于数据包,将不再检查后面的策略。如果没有找到匹配的策略,出于安全考虑,该数据包将被丢弃。
注意,对于设置了时间段的访问控制策略来说,首先还需判断该时间段是否是有效时间段。当时间段有效期已过,该时间段无效,将不再起作用;如果需要时间段策略控制,必须重新配置该时间段。
F. 自定义用户身份及其业务权限
由以上分析可知,如果要配置一个局域网的用户及其上网的访问权限,就应该遵循以下步骤:
1) 规划局域网每个用户,确定用户是否拥有连接和通过设备的权限,以及这些用户上网所能使用的权限;
2) 将上网权限相同的用户合并,将局域网用户划分成若干个工作组/地址组;
3) 根据上一步的规划为每个用户的计算机设置TCP/IP属性,并且记录下每个用户的MAC地址;
4) 在高级配置—>
IP/MAC绑定中,配置IP和MAC绑定(如果要禁止非允许的IP/MAC绑定用户连接和通过设备,请取消“允许非IP/MAC绑定用户”的选中);
5)
在用户管理—>组管理中,配置工作组,或在防火墙—>地址组中配置地址组(如果是为地址组用户配置访问权限,还需要在防火墙—>服务组中配置服务组);
6) 在系统管理—>时钟管理中,校正设备当前系统时间;
7) 如果要限制用户的上网时间,在用户管理—>时间段配置中,配置时间段;
在防火墙—>访问控制策略中,配置每个工作组/地址组的上网权限。
总之,当前几乎所有流行的路由器都支持ip和mac地址绑定功能,通过路由器IP和MAC绑定,路由器绑定IP,路由器禁止修改IP,路由器限制IP地址修改,路由器arp绑定,路由器阻止ARP病毒,路由器绑定MAC地址,路由器进行IP和mac捆绑,路由器绑定mac和ip地址,一般的路由器都支持,但是路由器设置IP和mac地址绑定较为复杂,我们推荐用专业的网管软件进行ip和mac地址绑定更为简单易用。
相关链接:
聚生网管禁止修改IP地址功能介绍:http://www.grabsun.com/ProductShow104.htm
即可下载聚生网管试用:http://www.grabsun.com/download/grabsun.rar
|