偷偷摘套内射激情视频,久久精品99国产国产精,中文字幕无线乱码人妻,中文在线中文a,性爽19p

圖解ASA防火墻上進(jìn)行ARP綁定

作者:ltyluck
安全
目前我公司使用的網(wǎng)絡(luò)全是靜態(tài)IP地址,在公司里面有一臺(tái)ASA5505防火墻,應(yīng)領(lǐng)導(dǎo)要求,在該防火墻上面要限制某部份用戶(hù)不能使用某些應(yīng)用(如QQ農(nóng)場(chǎng)等),而領(lǐng)導(dǎo)的計(jì)算機(jī)不做任何限制。

目前我公司使用的網(wǎng)絡(luò)全是靜態(tài)IP地址,在公司里面有一臺(tái)ASA5505防火墻,應(yīng)領(lǐng)導(dǎo)要求,在該防火墻上面要限制某部份用戶(hù)不能使用某些應(yīng)用(如QQ農(nóng)場(chǎng)等),而領(lǐng)導(dǎo)的計(jì)算機(jī)不做任何限制。為了實(shí)現(xiàn)這些功能,我們需要在ASA 5505防火墻上面做ARP綁定,然后再使用訪問(wèn)控帛列表來(lái)對(duì)這些IP地址與MAC地址進(jìn)行限制。具體配置很簡(jiǎn)單,那么下面就帶大家一起來(lái)看看如何在ASA 5500防火墻上面配置ARP綁定呢?

ciscoasa# conf t
ciscoasa(config)# name 192.168.0.78 liuty-s //給我這個(gè)IP地址取一個(gè)名字
ciscoasa(config)# object-group network inside //建立一個(gè)對(duì)像組
ciscoasa(config-network)# network-object host 192.168.0.78 //將我的IP地址加入到該對(duì)像組中
ciscoasa(config-network)# exit
ciscoasa(config)# access-list inside line 1 per ip object-group inside any //訪問(wèn)控制列表,允許oubject-group中的inside中的IP地址去訪問(wèn)任何地址
ciscoasa(config)# access-group inside in interface inside  //將訪問(wèn)控制列表inside應(yīng)用到inside的入口方向上面
ciscoasa(config)# arp inside 192.168.0.78 0023.14e7.bd10 //將該IP地址與MAC地址綁定

很簡(jiǎn)單的幾條命令,我們就實(shí)現(xiàn)將下面PC的IP地址與MAC地址進(jìn)行綁定了。下面我們來(lái)測(cè)試一下看看。剛才上面的IP地址與MAC地址是我筆記本無(wú)線網(wǎng)卡的IP地址與MAC地址(如下圖)。

我們ping 192.168.0.199(防火墻內(nèi)網(wǎng)接口地址)看看能否正常通信。

從上圖我們可以看見(jiàn),通過(guò)我們的無(wú)線網(wǎng)卡能夠正常的去與我們防火墻內(nèi)部接口正常通信。那么下面我將我無(wú)線網(wǎng)卡上面的IP地址換至有線網(wǎng)卡上面再測(cè)試,這樣我有線網(wǎng)卡的MAC地址就不能與防火墻上面設(shè)置的MAC地址匹配(如下圖)。

那么我們現(xiàn)在再來(lái)看看能不能正常進(jìn)行通信呢(如下圖)

從這里我們可以很明顯的看見(jiàn),他不能與我們防火墻進(jìn)行通信,而這樣就已經(jīng)實(shí)現(xiàn)了IP地址與MAC地址對(duì)應(yīng)以后才能正常通過(guò)防火墻出去。但是這樣有一點(diǎn)我們大家很容易忽略的,就是我們只將我們需要用的地址進(jìn)行IP與MAC綁定,而其他沒(méi)有用的就沒(méi)有綁,那么人有使用沒(méi)有綁定IP地址與MAC地址的IP去訪問(wèn)互聯(lián)網(wǎng),是能夠正常出去的。下面我們來(lái)試試,我現(xiàn)在將我的IP地址改成192.168.0.2,這個(gè)IP地址在我當(dāng)前的網(wǎng)絡(luò)中是沒(méi)有使用的,在防火墻上面也沒(méi)有對(duì)該IP地址進(jìn)行MAC地址綁定。

這時(shí)候我們?cè)賞ing一下防火墻的內(nèi)網(wǎng)接口地址看看能否正常通信呢?

看看是不是能夠正常通信呢?所以我們?cè)谂渲眠@個(gè)的時(shí)候一定要注意,將沒(méi)有啟用的IP地址給他隨便配置一個(gè)MAC地址,或者我們?cè)趯?xiě)訪問(wèn)控制列表的時(shí)候,只允許啟用了的IP地址經(jīng)過(guò)防火墻出去,而沒(méi)有啟用的地址就給拒絕。

本文出自 “網(wǎng)絡(luò)乄醜” 博客,http://ltyluck.blog.51cto.com/170459/348509

【編輯推薦】

  1. 剖析ARP緩存感染攻擊
  2. 思科ASA防火墻配置很簡(jiǎn)單!
  3. 應(yīng)用層防火墻如何防御協(xié)議棧上的攻擊?
  4. WEB應(yīng)用防火墻之前世今生——誤讀
責(zé)任編輯:佟健 來(lái)源: 51CTO博客
ASAARP防火墻
相關(guān)推薦

2010-10-08 14:29:21

ASA防火墻

2010-06-21 13:01:12

2010-09-25 16:34:30

CISCO ASA

2010-09-25 16:46:28

2010-11-19 14:14:11

Oracle服務(wù)端口

2010-10-11 12:45:37

2012-11-08 11:02:54

2010-03-24 14:23:11

CentOS防火墻

2009-11-09 08:59:54

2009-06-30 18:31:59

2010-12-21 18:04:26

2011-04-21 10:59:59

思科防火墻

2010-12-08 09:29:27

下一代防火墻

2010-09-14 13:08:52

2010-09-14 14:30:29

2010-10-09 09:36:45

2010-05-24 17:49:56

2011-06-27 13:31:21

2021-06-25 18:31:37

云防火墻

2010-09-14 10:30:55

Cisco PIX防火
點(diǎn)贊
收藏

51CTO技術(shù)棧公眾號(hào)