禁止客户端上网

禁止客户端上网

为了实现一些出站流量过滤,以便客户端只能访问特定的网站,是否可以配置 Fortinet FGT 60B 来执行一些 IP MAC 地址绑定?

简而言之:

  • Fortinet FGT 60B 用作网关
  • 具有静态 IP 的客户端cl1只能访问特定网站

我还希望防止有人将网线插入网络插孔并上网。为了做到这一点,我考虑进行一些 IP MAC 地址绑定,以便客户端cl1受到 Fortinet 的监控。任何拥有不同 IP 或 MAC 地址的人都应被禁止上网

这可行吗?

答案1

您想做的事情肯定是可能的。您可以使用两种不同的方法:

  • 在 IP 层面开展工作:由于您的客户端具有静态 IP,因此可以定义一条规则,使其只能访问特定网站和(最终)DNS 服务器。在该规则下,创建另一条规则,拒绝所有到其他目的地的流量。您可以在“防火墙对象”下定义源地址和目标地址
  • 在 MAC 级别工作:您的 Fortinet 应该能够使用菜单项“用户和设备”->“设备”->“设备定义”通过其 IP 地址定义设备。然后,您可以根据该 MAC 地址创建自定义规则。

第一种选择更容易管理(从长远来看),但容易受到恶意用户更改 IP 地址的影响。为了缓解此问题,您可以直接在 Fortinet ARP 表中定义 MAC->IP 之间的静态 ARP 映射,但这会使管理变得复杂。

如果您选择第二个选项,请记住在定义基于 MAC 的设备的界面上启用“设备识别”。如果可以找到一些信息这里这里

相关内容