一些企事業(yè)單位的局域網(wǎng)出于安全需要,必須指定的mac地址才可以聯(lián)網(wǎng)和訪問服務(wù)器資源。在本例中,我將結(jié)合WSG上網(wǎng)行為管理網(wǎng)關(guān),來介紹如何通過客戶機(jī)的MAC地址來對(duì)客戶端進(jìn)行身份認(rèn)證,只有通過認(rèn)證的客戶端設(shè)備才可以訪問網(wǎng)絡(luò)資源。網(wǎng)絡(luò)結(jié)構(gòu)圖如下:
如上圖所示,把一臺(tái)WSG上網(wǎng)行為管理網(wǎng)關(guān)串接在服務(wù)器網(wǎng)段、互聯(lián)網(wǎng)和內(nèi)網(wǎng)交換機(jī)之間,從而控制內(nèi)網(wǎng)的客戶機(jī)電腦到服務(wù)器網(wǎng)段和外網(wǎng)的訪問。在本例中,我們采用的是網(wǎng)橋部署模式,網(wǎng)橋的配置如下圖:
在WSG的網(wǎng)橋設(shè)置中定義內(nèi)網(wǎng)的IP段(不包括服務(wù)器網(wǎng)段),這樣就可以同時(shí)實(shí)現(xiàn)對(duì)外網(wǎng)訪問和到服務(wù)器網(wǎng)段的訪問管控。其他的相關(guān)策略配置如下:
1. 把允許的MAC地址加入組配置
2. 應(yīng)用過濾中禁止所有訪問
在“行為管理”-“應(yīng)用過濾”模塊中,先對(duì)所有人都采用禁止所有的應(yīng)用過濾策略。
3. 再對(duì)指定的組放行
在“行為管理”-“例外設(shè)置”中,對(duì)允許的mac地址組添加例外策略。可以放行所有,也可以放行指定的內(nèi)容(IP地址、域名、端口等),還可以放行指定的應(yīng)用協(xié)議。如下圖:
放行指定的網(wǎng)站或者IP:
放行指定的應(yīng)用協(xié)議:
經(jīng)過上述的配置步驟后,內(nèi)網(wǎng)的客戶機(jī)如需訪問外網(wǎng)或者訪問服務(wù)器,都需要先經(jīng)過授權(quán)才可以進(jìn)行訪問。
