为了实现一些出站流量过滤,以便客户端只能访问特定的网站,是否可以配置 Fortinet FGT 60B 来执行一些 IP MAC 地址绑定?
简而言之:
- Fortinet FGT 60B 用作网关
- 具有静态 IP 的客户端
cl1
只能访问特定网站
我还希望防止有人将网线插入网络插孔并上网。为了做到这一点,我考虑进行一些 IP MAC 地址绑定,以便客户端cl1
受到 Fortinet 的监控。任何拥有不同 IP 或 MAC 地址的人都应被禁止上网
这可行吗?
答案1
您想做的事情肯定是可能的。您可以使用两种不同的方法:
- 在 IP 层面开展工作:由于您的客户端具有静态 IP,因此可以定义一条规则,使其只能访问特定网站和(最终)DNS 服务器。在该规则下,创建另一条规则,拒绝所有到其他目的地的流量。您可以在“防火墙对象”下定义源地址和目标地址
- 在 MAC 级别工作:您的 Fortinet 应该能够使用菜单项“用户和设备”->“设备”->“设备定义”通过其 IP 地址定义设备。然后,您可以根据该 MAC 地址创建自定义规则。
第一种选择更容易管理(从长远来看),但容易受到恶意用户更改 IP 地址的影响。为了缓解此问题,您可以直接在 Fortinet ARP 表中定义 MAC->IP 之间的静态 ARP 映射,但这会使管理变得复杂。