要实现网络安全管理，首先必须解决用户的身份识别问题，然后才能进行必要的业务授权工作。在防火墙—>访问控制策略中，我们详细地介绍了如何实现对局域网用户上网行为的控制。在本节，我们将介绍如何解决用户的身份识别问题。

在设备中，通过IP/MAC绑定功能完成用户的身份识别工作。使用绑定的IP/MAC地址对作为用户唯一的身份识别标识，可以保护设备和网络不受IP欺骗的攻击。IP欺骗攻击是一台主机企图使用另一台受信任的主机的IP地址连接到设备或者通过设备。这台电脑的IP地址可以轻易地改变为受信任的地址，但是MAC地址是由生产厂家添加到以太网卡上的，不能轻易地改变。

通过在“IP/MAC绑定配置”中添加可信的计算机的静态IP地址和对应的MAC地址，即可在“IP/MAC绑定信息列表”中形成对应的IP/MAC地址对条目。注意，在“IP/MAC绑定信息列表”中，还可设置IP/MAC绑定条目的上网状态，从而控制对应的IP/MAC绑定用户是否可以上网。当某个IP/MAC绑定条目选中“允许”时（方框中出现“√”），表示上网状态为“允许”，即允许与该IP/MAC地址对完全匹配的用户上网；未选中“允许”时（方框中没有“√”），表示上网状态为“禁止”，即禁止与该IP/MAC地址对完全匹配的用户上网。

 

 

为方便起见，我们先介绍一下设备中，合法用户、非法用户及身份未知用户的概念。

合法用户：其IP及MAC地址与“IP/MAC绑定信息列表”中的某条目的IP及MAC地址完全匹配，且该条目的“允许”被选中。

非法用户：其IP及MAC地址与“IP/MAC绑定信息列表”中的某条目的IP及MAC地址完全匹配，且该条目的“允许” 未被选中；或者，其IP和MAC地址中有且只有一个某绑定条目的对应信息匹配。

身份未知用户：即非IP/MAC绑定用户，其IP或MAC地址均不与“IP/MAC绑定信息列表”中的任何条目的IP或MAC地址匹配，也就是除合法用户以及非法用户之外的所有用户。

对于身份未知的用户，是在IP/MAC绑定全局设置中统一控制的。如果选中“允许非IP/MAC绑定用户”，就表示允许这些用户连接或者通过设备；如果没有选中“允许非IP/MAC绑定用户”，就表示禁止这些用户连接或者通过设备。

IP/MAC绑定应用于来自于局域网内部，连接到设备的数据包或者通过设备上网的数据包。当局域网用户有数据流量连接和通过设备时，将首先和“IP/MAC绑定信息列表”中的条目相比较，即进行身份识别；之后，根据用户身份的不同，来自该用户的数据包将被丢弃或进入IP业务管理功能模块处理（即继续去匹配业务策略）。具体描述如下：

1.         如果该用户是合法用户，则允许该数据包通过，并继续去匹配业务策略；

2.         如果该用户是非法用户，则丢弃该数据包；

3.         如果该用户身份未知，则根据IP/MAC绑定全局配置执行：

1)        若允许身份未知用户，即选中“允许非IP/MAC绑定用户”时，则允许该数据包通过，并继续去匹配业务策略；

2)        若禁止身份未知用户，即没有选中“允许非IP/MAC绑定用户”时，则丢弃该数据包。

例如，如果某用户IP/MAC地址对192.168.16.221和00:22:aa:00:22:bb已经添加到“IP/MAC绑定信息列表”，且上网状态为“允许”（方框中出现“√”），如下图所示：

那么，当设备接收到来自局域网的数据包时，将会根据以下几种情况处理：

1.         一个IP地址为192.168.16.221，MAC地址为00:22:aa:00:22:bb的数据包将被允许通过，并继续去匹配业务策略；

2.         一个IP地址为192.168.16.221，但是使用了其他MAC地址的数据包将立即被丢弃，以防止IP欺骗攻击；

3.         一个使用了其他IP地址，但是MAC地址是00:22:aa:00:22:bb的数据包也将被丢弃，以防止IP欺骗攻击；

4.         如果这个数据包的IP地址和MAC地址在“IP/MAC绑定信息列表”都没有定义：

1）    如果选中“允许非IP和MAC绑定用户”，则允许该数据包通过，并继续去匹配业务策略。

2）    如果没有选中“允许非IP和MAC绑定用户”，则禁止该数据包通过。

如果希望禁止该用户上网，则可以直接取消“允许”的选中，即可将其上网状态改为“禁止”，如下图所示。这时，IP地址为192.168.16.221，MAC地址为00:22:aa:00:22:bb的数据包将被丢弃，其他情况下设备对数据包的处理同上。

注意，在启用了IP/MAC绑定功能之后，如果修改了一台电脑的IP地址或者MAC地址，而且此IP地址和MAC地址已经在“IP/MAC绑定信息列表”中，则必须同时修改“IP/MAC绑定信息列表”中的相应的条目。否则这台电脑将无法访问设备或者通过设备。当未选中“允许非IP/MAC绑定用户”时，如果希望局域网中新增的主机可以访问或通过设备，则必须为该主机在“IP/MAC绑定信息列表”中添加IP/MAC绑定地址对，并选中“允许”，即允许该主机上网。

IP/MAC绑定功能只能影响用户访问设备或通过设备访问其他网络（如Internet），但不能影响局域网内部通信（或不经过该设备的通信）。如果用户修改了IP或MAC，将有可能无法访问设备或通过设备访问其他网络（如Internet），但是不会影响局域网内部通信，比如网络邻居浏览。

 

 

 用户名：欲进行IP和MAC地址绑定的用户名称。自定义，不能重复，取值范围：1～31个字符；

 IP地址：该用户的IP地址（可使用ipconfig /all命令获得）；

 MAC地址：该用户的MAC地址（可使用ipconfig /all命令获得）。

 保存：IP/MAC绑定用户配置参数生效；

 重填：恢复到修改前的配置参数；

 读ARP表：显示LAN口的动态ARP列表，即设备通过LAN口动态学习到的用户的ARP信息。注意，如果已经将某用户的IP/MAC地址对添加到“IP/MAC绑定信息列表”中，该用户的IP/MAC地址对将不再显示。

 <==（向左箭头）：用于自动添加IP/MAC绑定条目。在动态ARP列表中，先选中一个IP/MAC地址对，比如200.200.200.139（00:07:95:a8:1c:3d），再双击它或单击“<==”按钮，相关信息即可填充到配置框中（“用户名”也被IP地址填充，可修改），然后单击“保存”按钮，即可将之添加到“IP/MAC绑定信息列表”中；

 IP/MAC全部绑定：若希望一次性将局域网主机的IP/MAC地址对全部绑定，则可以直接单击“IP/MAC全部绑定”超链接，转到安全配置—>ARP欺骗防御页面，然后在“动态ARP表”中执行全部绑定操作。

 

 允许非IP/MAC绑定用户：允许或禁止非IP/MAC绑定用户连接到设备。

 保存：IP/MAC绑定全局配置参数生效；

 重填：恢复到修改前的配置参数；

 导出ARP绑定脚本文件：单击“导出ARP绑定脚本文件”超链接，即可下载ARP绑定脚本文件到本地主机。运行该文件并重启主机，可将设备的LAN口ARP信息添加主机中，从而防止ARP欺骗。

 提示：当决定取消“允许非IP/MAC绑定用户”功能前，必须确认管理计算机已经被添加到“IP/MAC绑定信息列表”中，否则将会造成管理计算机无法连接到设备的现象。

 

 查看：在“IP/MAC绑定信息列表”中可以查看已配置绑定的用户信息，包括用户名、IP地址、MAC地址、绑定类型等信息；

 编辑：如果想编辑某个IP/MAC绑定条目，只需单击该条目的“用户名”或“编辑”超链接，其信息就会填充到相应的编辑框内，可修改用户名和MAC地址，再单击“保存”按钮，修改完毕；如果想编辑某个IP/MAC绑定条目的上网状态，则只需直接单击“允许”列中的方框，即可修改。选中“允许”时，表示上网状态为“允许”，即允许与该条目完全匹配的用户上网；未选中“允许”时，表示上网状态为“禁止”，即禁止与该条目完全匹配的用户上网；

 删除：选中一些IP/MAC绑定条目，在列表右下方的下拉框中选择“删除”选项，并单击“GO”按钮，即可删除被选中的条目；

 IP/MAC全部删除：选中一些绑定类型为“IP/MAC”的IP/MAC绑定条目，在列表右下方的下拉框中选择“IP/MAC全部删除”选项，并单击“GO”按钮，即可删除被选中的条目；

 DHCP全部删除：选中一些绑定类型为“DHCP”的IP/MAC绑定条目，在列表右下方的下拉框中选择“DHCP全部删除”选项，并单击“GO”按钮，即可删除被选中的条目。

 

 

配置IP/MAC绑定条目的步骤如下：

    第一步，进入高级配置—>IP/MAC绑定页面；

第二步，选择“添加”选项，输入 “用户名”（自定义）、“IP地址”和“MAC地址”，然后单击“保存”按钮；或者，通过动态ARP列表来添加用户。

第三步，该IP/MAC绑定条目添加成功后，可以在“IP/MAC绑定信息列表”中查看，对于匹配该条目的数据包，将被允许连接或者通过设备。如果在防火墙—>访问控制策略中为该用户配置了访问控制策略，这些数据包还将继续去匹配这些策略；

第四步，继续配置其他IP/MAC绑定条目；

第五步，如果要禁止身份未知的用户连接或者是通过设备，则需取消“允许非IP/MAC绑定用户”的选中，然后单击“保存”按钮。否则的话，身份未知的用户也将被允许连接或者是通过设备；

第六步，如果要暂时禁止某个IP/MAC绑定用户上网，则可在“IP/MAC绑定信息列表”中修改对应条目的上网状态，即取消“允许”的选中，则表示禁止与该条目完全匹配的用户上网。

当配置完IP/MAC绑定之后，所有发送到设备的数据包将首先和“IP/MAC绑定信息列表”中的条目相比较。然后根据相关配置，该数据包将被丢弃或进入IP业务管理功能模块处理。

 

 

灵活地运用IP/MAC绑定功能，可以为局域网用户配置上网“白名单”和“黑名单”。

通过配置上网“白名单”，将只允许“白名单”中的用户通过设备上网，禁止其他所有用户通过设备上网。因此，如果要求只允许局域网中的少数用户上网，可通过配置上网“白名单”来实现。

通过配置上网“黑名单”，将只禁止“黑名单”中的用户通过设备上网，允许其他所有用户通过设备上网。因此，如果要求只禁止局域网中的少数用户上网，可通过配置上网“黑名单”来实现。

在设备中，“白名单”中的用户即为合法用户——其IP及MAC地址与“IP/MAC绑定信息列表”中的某条目完全匹配，且该条目选中“允许”。  

“黑名单”中的用户即为非法用户——其IP及MAC地址与“IP/MAC绑定信息列表”中的某条目完全匹配，且该条目没有选中“允许”；或者，其IP和MAC地址中有且只有一个与某个绑定条目的对应信息匹配。

 

 

为局域网用户配置上网“白名单”，步骤如下：

第一，   通过配置IP/MAC绑定条目来指定合法用户，将具有上网权限的主机的IP地址和MAC地址作为IP/MAC地址绑定对，并添加到“IP/MAC绑定信息列表”中，还需选中“允许”，即允许与该IP/MAC地址对完全匹配的用户上网。

第二，   不选中“允许非IP/MAC绑定用户”，从而，其他所有不在“IP/MAC绑定信息列表”中的主机将不能上网。

    例如，如果要允许某个IP地址为192.168.16.2，MAC地址为0022aa112233的主机连接和通过设备，则可添加一个IP/MAC绑定条目，输入该主机的IP地址和MAC地址，并选中“允许”，如下表所示。

 

 

为局域网用户配置上网“黑名单”，步骤如下：

第一，   通过配置IP/MAC绑定条目来指定非法用户，有三种方法：

1.         将禁止上网的主机的IP地址和任意一个非本局域网网卡的MAC地址作为IP/MAC地址绑定对，并添加到“IP/MAC绑定信息列表”中；

2.         将禁止上网的主机的MAC地址和任意一个非本局域网网段的IP地址作为IP/MAC地址绑定对，并添加到“IP/MAC绑定信息列表”中；

3.         可将禁止上网的主机的IP地址和MAC地址作为IP/MAC地址绑定对，添加到“IP/MAC绑定信息列表”中，并取消“允许”的选中（方框中无“√”），即禁止与该IP/MAC地址对完全匹配的用户上网。

第二，   选中“允许非IP/MAC绑定用户”，从而，其他所有IP地址和MAC地址均不在“IP/MAC绑定信息列表”中的主机将能够上网。

例如，如果要禁止具有某个MAC地址（例如002244002244）的主机连接和通过设备，可以添加一个IP/MAC地址绑定对，输入该MAC地址，而IP地址则设置成一个任意的非本局域网的IP地址，如下表所示。

例如，如果要禁止具有某个IP地址（例如192.168.16.100）的主机访问和连接设备，可以添加一个IP/MAC地址绑定对，输入该IP地址，而MAC地址则设置成任意一个非本局域网网卡的MAC地址，如下表所示。

例如，如果要禁止某个IP地址为192.168.16.88，MAC地址为0022aa112233的主机连接和通过设备，则可添加一个IP/MAC地址绑定对，输入该主机的IP地址和MAC地址，并取消“允许”的选中（方框中无“√”），如下表所示。