禁止客户端上网

Question

您想做的事情肯定是可能的。您可以使用两种不同的方法：

在 IP 层面开展工作：由于您的客户端具有静态 IP，因此可以定义一条规则，使其只能访问特定网站和（最终）DNS 服务器。在该规则下，创建另一条规则，拒绝所有到其他目的地的流量。您可以在“防火墙对象”下定义源地址和目标地址
在 MAC 级别工作：您的 Fortinet 应该能够使用菜单项“用户和设备”->“设备”->“设备定义”通过其 IP 地址定义设备。然后，您可以根据该 MAC 地址创建自定义规则。

第一种选择更容易管理（从长远来看），但容易受到恶意用户更改 IP 地址的影响。为了缓解此问题，您可以直接在 Fortinet ARP 表中定义 MAC->IP 之间的静态 ARP 映射，但这会使管理变得复杂。

如果您选择第二个选项，请记住在定义基于 MAC 的设备的界面上启用“设备识别”。如果可以找到一些信息这里和这里

Answer 1

您想做的事情肯定是可能的。您可以使用两种不同的方法：

在 IP 层面开展工作：由于您的客户端具有静态 IP，因此可以定义一条规则，使其只能访问特定网站和（最终）DNS 服务器。在该规则下，创建另一条规则，拒绝所有到其他目的地的流量。您可以在“防火墙对象”下定义源地址和目标地址
在 MAC 级别工作：您的 Fortinet 应该能够使用菜单项“用户和设备”->“设备”->“设备定义”通过其 IP 地址定义设备。然后，您可以根据该 MAC 地址创建自定义规则。

第一种选择更容易管理（从长远来看），但容易受到恶意用户更改 IP 地址的影响。为了缓解此问题，您可以直接在 Fortinet ARP 表中定义 MAC->IP 之间的静态 ARP 映射，但这会使管理变得复杂。

如果您选择第二个选项，请记住在定义基于 MAC 的设备的界面上启用“设备识别”。如果可以找到一些信息这里和这里

相关内容