web_guard_网址绑定.pdfVIP

WebGuard 防火牆手冊 第四章 網址綁定 防火牆為了確保企業網路的傳輸安全，會過濾所有進出防火牆的封包以確 保傳輸安全。防火牆對封包的控管，是透過「網址綁定」即( IP-MAC 綁 定)與「網路存取控管」功能所訂定的規則，更對所有進出防火牆的封包 進行控管，如果發現非法傳遞的封包，就會丟棄該封包，以維繫企業內部 的網路安全。 這兩種控管方式對封包的管制說明如下： 一、 網址綁定(IP MAC 綁定) ：MAC是電腦的網路卡編號，而 IP是內部 網路不同主機的位置。防火牆針對特定內部網路 IP管制封包進出，並 依照【網址綁定】表檢視 IP 與 MAC的對應，查看封包的來源是否符 合對應表規定，如果 IP 與 MAC 兩者對應符合，即確認此封包為合法， 進而再照「網路存取控管規則」管制封包。如封包來源的 IP跟 MAC 其中之一不落在對應表時，則此封包會被丟棄，防火牆並在狀態監控 器留下紀錄；若封包的 IP 來源沒有在「網址綁定表」，則忽略綁定規 則。 二、 網路存取控管：在【網路存取控管】視窗中，依照來源網路、目的 網路與其設定的服務等項目，定義出每個進出防火牆的封包動作，決 定封包該丟棄、回絕、放行或加解( ) 密。管理者在此介面中，對網路 物件、服務物件等定義、訂定管制規則，將企業中的組織定義成各個 物件，針對每個封包的使用者、來源網路、目的網路、服務埠以及時 間訂定控管規則，並根據這個表由的規則，檢查每一個進出防火牆的 4-1 第四章 網址綁定 封包，將其丟棄、回絕、放行或加解( ) 密。 除了網址綁定表內已設定的網路單位外，若有未列出的網路單位傳遞封 包時，可選擇讓這些封包全部通過或全部丟棄，如果不特別指定，防火 牆的預設為「放行」。 4-2 WebGuard 防火牆手冊 4.1 IP MAC 綁定原理 為了能充分管理企業內部網路的 IP ，並防止受保護的內部網路IP遭到莫 名的冒用，防火墻可對受保護的內部網路 IP 與電腦的網路卡編號進行控 管， WebGuard設計了網址綁定功能，可對加強內部主機的網路傳輸安全。 所謂網址綁定，是防火牆在做內部網路控管時，對內部網路 IP位址與網 卡的位址 MAC的對應進行控管。 管理員可設定防火牆來保護企業內部網路區域，在此範圍內所有的電腦網 路位置，都是防火牆保護的對象。防火牆除了辨識哪些是該保護的網路位 置外，還可以自動擷取其相對應位置的網卡編號 即( MAC) ，並將相對應 的 IP 與 MAC存入在【網址綁定表】。 根據【網址綁定】規則表，防火牆會檢查每一個封包，如果封包的 IP符 合對應表的某一條，而網卡的位址 MAC卻不符合時，表示某機器盜用此 IP 以連線出去，防火牆就會將此封包丟棄。如果有人假冒內部網路的IP ， 欲利用假位置傳遞封包，防火墻會辨識該 IP位置是否與對應的特定的網 路卡編號吻合，如果不吻合，則將該位置傳送的封包丟棄。 如果封包的 IP 不符合對應表上的任一條，表示此 IP 不受 IP-MAC管制， 或是 IP 與 MAC 完全符合對應表的某一條，此時該封包的處理方式視【網 路存取控管】訂定的規則而行。簡言之， IP-MAC 控管是依【網路存取控 管】規則表控管網路的前置處理程序。 網址綁定控管只針對從內部網路 (LAN)與非軍事區(DMZ)送來的封包加 以控管。如果 IP落在對應表但 MAC卻不在對應表時，該封包不但被丟 棄，防火牆還會在狀態監控器留下紀錄。 4-3 第四章 網址綁定