目前我公司使用的網(wǎng)絡(luò)全是靜態(tài)IP地址，在公司里面有一臺ASA5505防火墻，應(yīng)領(lǐng)導(dǎo)要求，在該防火墻上面要限制某部份用戶不能使用某些應(yīng)用（如QQ農(nóng)場等），而領(lǐng)導(dǎo)的計算機不做任何限制。為了實現(xiàn)這些功能，我們需要在ASA 5505防火墻上面做ARP綁定，然后再使用訪問控帛列表來對這些IP地址與MAC地址進(jìn)行限制。具體配置很簡單，那么下面就帶大家一起來看看如何在ASA 5500防火墻上面配置ARP綁定呢？

ciscoasa# conf t
ciscoasa(config)# name 192.168.0.78 liuty-s //給我這個IP地址取一個名字
ciscoasa(config)# object-group network inside //建立一個對像組
ciscoasa(config-network)# network-object host 192.168.0.78 //將我的IP地址加入到該對像組中
ciscoasa(config-network)# exit
ciscoasa(config)# access-list inside line 1 per ip object-group inside any //訪問控制列表，允許oubject-group中的inside中的IP地址去訪問任何地址
ciscoasa(config)# access-group inside in interface inside  //將訪問控制列表inside應(yīng)用到inside的入口方向上面
ciscoasa(config)# arp inside 192.168.0.78 0023.14e7.bd10 //將該IP地址與MAC地址綁定

很簡單的幾條命令，我們就實現(xiàn)將下面PC的IP地址與MAC地址進(jìn)行綁定了。下面我們來測試一下看看。剛才上面的IP地址與MAC地址是我筆記本無線網(wǎng)卡的IP地址與MAC地址（如下圖）。

我們ping 192.168.0.199（防火墻內(nèi)網(wǎng)接口地址）看看能否正常通信。

從上圖我們可以看見，通過我們的無線網(wǎng)卡能夠正常的去與我們防火墻內(nèi)部接口正常通信。那么下面我將我無線網(wǎng)卡上面的IP地址換至有線網(wǎng)卡上面再測試，這樣我有線網(wǎng)卡的MAC地址就不能與防火墻上面設(shè)置的MAC地址匹配（如下圖）。

那么我們現(xiàn)在再來看看能不能正常進(jìn)行通信呢（如下圖）

從這里我們可以很明顯的看見，他不能與我們防火墻進(jìn)行通信，而這樣就已經(jīng)實現(xiàn)了IP地址與MAC地址對應(yīng)以后才能正常通過防火墻出去。但是這樣有一點我們大家很容易忽略的，就是我們只將我們需要用的地址進(jìn)行IP與MAC綁定，而其他沒有用的就沒有綁，那么人有使用沒有綁定IP地址與MAC地址的IP去訪問互聯(lián)網(wǎng)，是能夠正常出去的。下面我們來試試，我現(xiàn)在將我的IP地址改成192.168.0.2，這個IP地址在我當(dāng)前的網(wǎng)絡(luò)中是沒有使用的，在防火墻上面也沒有對該IP地址進(jìn)行MAC地址綁定。

這時候我們再ping一下防火墻的內(nèi)網(wǎng)接口地址看看能否正常通信呢？

看看是不是能夠正常通信呢？所以我們在配置這個的時候一定要注意，將沒有啟用的IP地址給他隨便配置一個MAC地址，或者我們在寫訪問控制列表的時候，只允許啟用了的IP地址經(jīng)過防火墻出去，而沒有啟用的地址就給拒絕。

本文出自 “網(wǎng)絡(luò)乄醜” 博客，http://ltyluck.blog.51cto.com/170459/348509

【編輯推薦】

1. 剖析ARP緩存感染攻擊
2. 思科ASA防火墻配置很簡單！
3. 應(yīng)用層防火墻如何防御協(xié)議棧上的攻擊？
4. WEB應(yīng)用防火墻之前世今生——誤讀