クライアントによるネットサーフィンの禁止
クライアントが特定のWebサイトにのみアクセスできるように、いくつかの出力トラフィックフィルタリングを実装するために、フォーティネットFGT 60Bを構成してIPMACアドレスバインディングを実行することはできますか?
手短に:
- フォーティネットFGT60Bはゲートウェイとして機能します
- 静的IPを持つクライアント
cl1は、特定のWebサイトにのみアクセスできる必要があります
また、誰かがネットワークケーブルをネットワークジャックに差し込んでネットサーフィンをするのを防ぎたいと思っています。これを行うために、クライアントcl1がフォーティネットによって監視されるようにIPMACアドレスバインディングを実行することを考えていました。異なるIPアドレスまたはMACアドレスを持っている人は、ネットサーフィンを禁止する必要があります
それは実行可能ですか?
あなたがやりたいことは確かに可能です。 2つの異なるアプローチを使用できます。
- IPレベルでの作業:クライアントには静的IPがあるため、特定のWebサイトにのみアクセスできるようにするルールを定義できます(最終的に) DNSサーバー。そのルールの下で、他の宛先へのすべてのトラフィックを拒否する別のルールを作成します。 「ファイアウォールオブジェクト」で送信元アドレスと宛先アドレスを定義できます
- MACレベルでの作業:フォーティネットは、メニューエントリ「ユーザーとデバイス」->「デバイス」を使用して、IPアドレスでデバイスを定義できる必要があります。 "->"デバイス定義 "。次に、そのMACアドレスに基づいてカスタムルールを作成できます。
最初のオプションは(長期的には)管理が簡単ですが、悪意のあるユーザーによるIPアドレスの変更に対して脆弱です。この問題を軽減するために、フォーティネットARPテーブル内で直接MAC-> IP間の静的ARPマッピングを定義できますが、これは管理を複雑にします。
2番目のオプションを選択する場合は、MACベースのデバイスを定義するインターフェイスで「デバイス識別」を有効にすることを忘れないでください。いくつかの情報を見つけることができれば ここ および ここ