防火墙,AC如何绑定MAC地址限制登录设备? 5

新手226840 2662

{{ttag.title}}
本帖最后由 新手226840 于 2023-4-4 11:24 编辑

防火墙,AC如何绑定 固定人员的电脑MAC地址 限制登录设备?
可能是我的表达有误,我想问的问题是:登录防火墙或者AC的用户范围能不能指定到固定用户才有权限,比如我在后台设置了我的电脑MAC,其他用户无法登录到管理后台,只有我这台电脑才可以登录。

该疑问已被 解决,获得了 25 S豆

回帖即可获得
2S豆
,被楼主采纳即奖励20S豆+悬赏奖励5S豆+10分钟内回帖奖励10S豆 [已过期] ,了解更多S豆奖励信息

完善手机号和公司名称,让服务更省心更便捷!立即完善

设备控制台不支持限制源IP访问,但是可以通过管理员登录限制,只允许指定的一些IP范围内的终端才能登录管理设备

设置格式要求:单个IP也可以设置IP段,一行一条设置最多可以设置32行,不支持限制mac地址

适用部署模式:支持所有部署模式(路由部署、网桥部署、旁路部署、单臂部署、认证模式)

你的需求可以考虑在交换机上针对特定mac做arp绑定,在限制地址登录
本答案是否对你有帮助?
百度之外650001 发表于 2023-4-4 10:15
  
本帖最后由 百度之外650001 于 2023-4-4 10:16 编辑

AC/SG设备可以实现用户名和ip/Mac址绑定,实现免认证或者限制终端和绑定的用户名一致才能通过认证上线
1、AC11.X以上版本在【用户认证与管理】-【用户认证】-【认证策略】新建认证策略,在【认证后处理】勾选【自动录入绑定关系】自动录入用户和ip/Mac的绑定关系
2、在【用户认证与管理】-【用户管理】-【组/用户】可以手动新增用户和绑定关系,或者在【用户绑定】手动新增用户绑定关系,也可以通过csv表格导入用户绑定或者用户开启绑定
3、AC12.0.47或AC13.X及以上版本在【接入管理】-【接入认证】-【portal认证】-【认证策略】新建认证策略,在【认证后处理】勾选【自动录入绑定关系】自动录入用户和ip/Mac的绑定关系
4、在【接入管理】-【用户管理】-【本地组/用户】可以手动新增用户和绑定关系,或者在【用户绑定管理】手动新增用户绑定关系,也可以通过csv表格导入用户绑定或者用户开启绑定
更多配置详情建议参考链接:点击这里
批量导入用户绑定建议参考链接:点击这里
注意:
1、内网是三层环境需要开启跨三层获取终端真实Mac
2、认证策略开启自动录入用户绑定关系会导致用户绑定限制登录功能单向生效,即用户可以在认证策略范围内一直在新终端进行认证录入新的绑定关系,认证高级选项默认开启了单用户绑定终端限制5个
3、AC12.0.25之前版本组/用户导入的绑定关系默认为限制登录,可以批量编辑开启永久免认证或者免认证有效期
4、AC12.0.25及以上版本支持同时绑定IP和Mac关系,任一绑定校验不通过,免认证不生效,如果是限制登录则会用户绑定校验失败,不能通过认证
5、不需要认证用户绑定只有以绑定用户名上线功能,绑定关系校验失败可以匹配不需要认证以认证方式选择的用户名上线
6、csv表格只能通过wps进行编辑再导入
7、域用户不支持编辑,只能通过认证策略自动录入或者在用户绑定手动录入或者通过csv表格导入



标准版本8.0.17之前,只能通过认证策略绑定MAC后再做应用控制策略
从标准版本AF8.0.17开始,AF支持二层环境直接根据MAC来做应用控制策略;如内网是三层环境三层交换机需要开启SNMP功能,AF需开启跨三层MAC识别功能后再做应用控制策略
PS:AF8.0.35-8.0.48版本需要先在【系统】-【通用配置】-【网络参数】勾选“高级配置”,应用控制策略界面才会显示MAC配置
注意:勾选高级配置不会重启设备,会重启控制台服务重新登录控制台,建议非业务期间操作

方案一:直接根据MAC来做应用控制策略(从标准版本AF8.0.17开始支持)
1.以标准版本AF8.0.50-8.0.69版本,直接在【策略】-【访问控制】-【应用控制策略】根据MAC配置应用控制策略。
2.以标准版本AF8.0.17-8.0.48版本操作路径示例:先在【系统】-【通用配置】-【网络参数】勾选“高级配置”。然后在【策略】-【访问控制】-【应用控制策略】根据MAC配置应用控制策略。
注意:内网三层环境部署时,三层交换机需要开启SNMP功能,AF需开启跨三层MAC识别功能【认证系统】-【用户认证】-【认证选项】

方案二:通过认证策略绑定MAC后再做应用控制策略
1、配置认证策略绑定需要禁止的MAC
①以标准版本AF8.0.35-8.0.69版本操作路径示例
A:防火墙内网为二层网络环境:在【策略】-【认证】-【用户认证】-【认证策略】中勾选开启用户认证,选择相应的认证区域,新增认证策略,在【策略适用IP/MAC范围】中填入要禁止的MAC地址,然后在【新用户选项】中,将用户加入指定的禁止上网组

B:防火墙内网为三层网络环境:在【策略】-【认证】-【用户认证】-【认证选项】-【跨三层MAC识别】配置跨三层MAC识别,接着在【策略】-【认证】-【用户认证】-【认证策略】中勾选开启用户认证,选择相应的认证区域,新增认证策略,在【策略适用IP/MAC范围】中填入要禁止的MAC地址,然后在【新用户选项】中,将用户加入指定的禁止上网组
跨三层取MAC配置指导

②以标准版本AF7.4-8.0.32版本操作路径示例
A:防火墙内网为二层网络环境:在【认证系统】-【用户认证】-【认证策略】中勾选开启用户认证,选择相应的认证区域,新增认证策略,在【策略适用IP/MAC范围】中填入要禁止的MAC地址,然后在【新用户选项】中,将用户加入指定的禁止上网组

B:防火墙内网为三层网络环境:在【认证系统】-【用户认证】-【认证选项】-【跨三层MAC识别】配置跨三层MAC识别,跨三层取MAC相关配置:跨三层取MAC配置指导
接着在【认证系统】-【用户认证】-【认证策略】中勾选开启用户认证,选择相应的认证区域,新增认证策略,在【策略适用IP/MAC范围】中填入要禁止的MAC地址,然后在【新用户选项】中,将用户加入指定的禁止上网组

2、配置应用控制策略,把禁止上网组加入不允许上网的应用控制策略 【策略】-【访问控制】-【应用控制策略】,根据用户来做应用控制策略

参考动图:



火狐狸 发表于 2023-4-4 10:19
  
好厉害,还有奖励S都,我问问问机器人
Hill_李胜阳 发表于 2023-4-4 11:51
  
1、11.0以前:可以在【用户认证与管理】-【组/用户】里面选择用户,然后编辑这几个账号,选择【高级属性】里面勾选【限制在以下地址范围登陆】,并填写上这台电脑的MAC地址
2、11.0以后(含11.0)的版本:在【用户与策略管理】-【组/用户】里面选择用户,然后编辑这几个账号,选择【用户属性】里面勾选【绑定IP/MAC地址】,选择绑定MAC地址,并填写该台电脑的MAC地址
不知道理解的对不对,希望能够帮助到你!
有多少艾克以从来 发表于 2023-4-4 21:13
  
设备控制台不支持限制源IP访问,但是可以通过管理员登录限制,只允许指定的一些IP范围内的终端才能登录管理设备

设置格式要求:单个IP也可以设置IP段,一行一条设置最多可以设置32行,不支持限制mac地址

适用部署模式:支持所有部署模式(路由部署、网桥部署、旁路部署、单臂部署、认证模式)

你的需求可以考虑在交换机上针对特定mac做arp绑定,在限制地址登录
tianjt 发表于 2023-4-5 14:40
  
一楼回复很详细,很及时  

等我来答:

换一批

发表新帖
热门标签
全部标签>
西北区每日一问
安全效果
高手请过招
【 社区to talk】
纪元平台
每日一问
新版本体验
产品连连看
社区新周刊
干货满满
技术咨询
GIF动图学习
标准化排查
自助服务平台操作指引
功能体验
每周精选
社区帮助指南
VPN 对接
技术笔记
秒懂零信任
技术盲盒
POC测试案例
信服课堂视频
畅聊IT
答题自测
专家问答
技术圆桌
在线直播
MVP
网络基础知识
安装部署配置
升级
安全攻防
上网策略
测试报告
日志审计
问题分析处理
流量管理
每日一记
运维工具
云计算知识
用户认证
原创分享
解决方案
sangfor周刊
项目案例
SANGFOR资讯
专家分享
技术顾问
信服故事
SDP百科
功能咨询
终端接入
授权
设备维护
资源访问
地址转换
虚拟机
存储
迁移
加速技术
排障笔记本
产品预警公告
玩转零信任
信服圈儿
S豆商城资讯
技术争霸赛
「智能机器人」
追光者计划
深信服技术支持平台
答题榜单公布
2023技术争霸赛专题
通用技术
卧龙计划
华北区拉练
天逸直播
以战代练
技术晨报
山东区技术晨报
文档捉虫活动
齐鲁TV
华北区交付直播
2024年技术争霸赛
北京区每日一练
场景专题
故障笔记
排障那些事
升级&主动服务
高频问题集锦
全能先锋系列
云化安全能力

本版版主

1
3
10

发帖

粉丝

关注

396
143
63

发帖

粉丝

关注

5
8
7

发帖

粉丝

关注

0
2
1

发帖

粉丝

关注

本版达人

新手61940...

本周建议达人

BGP网络

本周分享达人

BGP网络

本周提问达人