本帖最后由 新手650001 于 2022-6-18 13:25 编辑
根据mac地址,一般情况下终端的mac是不会变的
标准版本8.0.17之前,只能通过认证策略绑定MAC后再做应用控制策略 从标准版本AF8.0.17开始,AF支持直接根据MAC来做应用控制策略。 PS:需要先在【系统】-【通用配置】-【网络参数】勾选“高级配置”。
以标准版本AF7.4版本操作路径示例: 1、配置认证策略绑定需要禁止的MAC 防火墙内网为二层网络环境:在【认证系统】-【用户认证】-【认证策略】中勾选开启用户认证,选择相应的认证区域,新增认证策略,在【策略适用IP/MAC范围】中填入要禁止的MAC地址,然后在【新用户选项】中,将用户加入指定的禁止上网组 防火墙内网为三层网络环境:在【认证系统】-【用户认证】-【认证选项】-【跨三层MAC识别】配置跨三层MAC识别,跨三层取MAC相关配置:跨三层取MAC配置指导。接着在【认证系统】-【用户认证】-【认证策略】中勾选开启用户认证,选择相应的认证区域,新增认证策略,在【策略适用IP/MAC范围】中填入要禁止的MAC地址,然后在【新用户选项】中,将用户加入指定的禁止上网组 2、配置应用控制策略,把禁止上网组加入不允许上网的应用控制策略 【策略】-【访问控制】-【应用控制策略】,根据用户来做应用控制策略 注意:内网三层环境部署时,三层交换机需要开启SNMP功能,AF需开启跨三层MAC识别功能【认证系统】-【用户认证】-【认证选项】 |