一些企事業單位的局域網出于安全需要,必須指定的mac地址才可以聯網和訪問服務器資源。在本例中,我將結合WSG上網行為管理網關,來介紹如何通過客戶機的MAC地址來對客戶端進行身份認證,只有通過認證的客戶端設備才可以訪問網絡資源。網絡結構圖如下:
如上圖所示,把一臺WSG上網行為管理網關串接在服務器網段、互聯網和內網交換機之間,從而控制內網的客戶機電腦到服務器網段和外網的訪問。在本例中,我們采用的是網橋部署模式,網橋的配置如下圖:
在WSG的網橋設置中定義內網的IP段(不包括服務器網段),這樣就可以同時實現對外網訪問和到服務器網段的訪問管控。其他的相關策略配置如下:
1. 把允許的MAC地址加入組配置
2. 應用過濾中禁止所有訪問
在“行為管理”-“應用過濾”模塊中,先對所有人都采用禁止所有的應用過濾策略。
3. 再對指定的組放行
在“行為管理”-“例外設置”中,對允許的mac地址組添加例外策略。可以放行所有,也可以放行指定的內容(IP地址、域名、端口等),還可以放行指定的應用協議。如下圖:
放行指定的網站或者IP:
放行指定的應用協議:
經過上述的配置步驟后,內網的客戶機如需訪問外網或者訪問服務器,都需要先經過授權才可以進行訪問。
