Запрет клиента на серфинг в сети
Чтобы реализовать некоторую фильтрацию выходного трафика, чтобы клиент мог посещать только определенные веб-сайты, можно ли настроить Fortinet FGT 60B на привязку IP-MAC-адреса?
В двух словах:
- Fortinet FGT 60B работает как шлюз
- Клиент
cl1имеющий статический IP-адрес должен иметь возможность посещать только определенный веб-сайт
Я также надеюсь, что кто-то не сможет подключить свой сетевой кабель к сетевому разъему и работать в сети. Чтобы сделать это, я подумал о том, чтобы сделать привязку IP-MAC-адреса, чтобы клиент cl1 контролируется Fortinet. Любой, имеющий другой IP или MAC-адрес, должен быть запрещен для серфинга в сети
Это возможно?
1 ответ
То, что вы хотите сделать, безусловно, возможно. Вы можете использовать два разных подхода:
- работа на уровне IP: поскольку у вашего клиента статический IP, можно определить правило, позволяющее ему посещать только определенные веб-сайты и (возможно) DNS-серверы. Согласно этому правилу, создайте еще один, который запрещает весь трафик к другому месту назначения. Вы можете определить адреса источника и назначения в разделе "Объекты брандмауэра".
- работа на уровне MAC: ваш Fortinet должен иметь возможность определять устройство по его IP-адресу, используя пункт меню "Пользователь и устройство" -> "устройство" -> "определение устройства". Затем вы можете создавать собственные правила на основе этого MAC-адреса.
Первый вариант легче администрировать (в долгосрочной перспективе), но он уязвим для изменения IP-адреса злоумышленником. Чтобы устранить эту проблему, вы можете определить статическое сопоставление ARP между MAC->IP непосредственно внутри таблицы Fortinet ARP, но это усложняет управление.
Если вы выбираете второй вариант, не забудьте включить "идентификацию устройства" в интерфейсе, где вы определяете свое устройство на основе MAC-адреса. Если можете найти некоторую информацию здесь и здесь