26
2021
11

企业局域网如何只允许指定的mac地址访问网络?

一些企事业单位的局域网出于安全需要,必须指定的mac地址才可以联网和访问服务器资源。在本例中,我将结合WSG上网行为管理网关,来介绍如何通过客户机的MAC地址来对客户端进行身份认证,只有通过认证的客户端设备才可以访问网络资源。网络结构图如下:

绘图1.png

如上图所示,把一台WSG上网行为管理网关串接在服务器网段、互联网和内网交换机之间,从而控制内网的客户机电脑到服务器网段和外网的访问。在本例中,我们采用的是网桥部署模式,网桥的配置如下图:

201909171568699025837583.png

在WSG的网桥设置中定义内网的IP段(不包括服务器网段),这样就可以同时实现对外网访问和到服务器网段的访问管控。其他的相关策略配置如下:

1. 把允许的MAC地址加入组配置

201909171568699331123393.png

2. 应用过滤中禁止所有访问

在“行为管理”-“应用过滤”模块中,先对所有人都采用禁止所有的应用过滤策略。

201909171568699411541354.png

3. 再对指定的组放行

在“行为管理”-“例外设置”中,对允许的mac地址组添加例外策略。可以放行所有,也可以放行指定的内容(IP地址、域名、端口等),还可以放行指定的应用协议。如下图:

201909171568699899697593.png

放行指定的网站或者IP:

202111261637911071719687.jpg

放行指定的应用协议:

202111261637911105321717.jpg

经过上述的配置步骤后,内网的客户机如需访问外网或者访问服务器,都需要先经过授权才可以进行访问。


« 上一篇 下一篇 »