Назад | Перейти на главную страницу

Запрещение клиенту пользоваться Интернетом

Чтобы реализовать некоторую фильтрацию исходящего трафика, чтобы клиент мог посещать только определенные веб-сайты, можно ли настроить Fortinet FGT 60B ​​для привязки некоторого IP-MAC-адреса?

В двух словах:

Я также надеюсь, что кто-то не сможет подключить свой сетевой кабель к сетевому разъему и выйти в Интернет. Чтобы сделать это, я подумал о привязке IP-MAC-адреса, чтобы клиент cl1 контролируется Fortinet. Всем, у кого другой IP или MAC-адрес, следует запретить серфинг в сети.

Это возможно?

То, что вы хотите делать, безусловно, возможно. Вы можете использовать два разных подхода:

  • работа на уровне IP: поскольку у вашего клиента статический IP-адрес, можно определить правило, позволяющее ему посещать только определенные веб-сайты и (в конечном итоге) DNS-серверы. В соответствии с этим правилом создайте еще один, который запрещает весь трафик к другому месту назначения. Вы можете определить адреса источника и назначения в разделе «Объекты межсетевого экрана».
  • работает на уровне MAC: ваш Fortinet должен иметь возможность определять устройство по его IP-адресу с помощью пункта меню «Пользователь и устройство» -> «устройство» -> «определение устройства». Затем вы можете создать собственные правила на основе этого MAC-адреса.

Первый вариант легче администрировать (в долгосрочной перспективе), но он уязвим для изменения IP-адреса злоумышленником. Чтобы смягчить эту проблему, вы можете определить статическое сопоставление ARP между MAC-> IP непосредственно внутри таблицы Fortinet ARP, но это усложняет управление.

Если вы выберете второй вариант, не забудьте включить «идентификацию устройства» в интерфейсе, в котором вы определяете свое устройство на основе MAC. Если можно найти информацию Вот и Вот