Juniper netscreen 防火牆IP MAC地址綁定!

在Netscreen綁定中信息包的流動，找出實現的方法並推測出其實現的機理。
假設在內網Trust zone的E1端口接有計算機PC1，它的IP是192.168.0.52, MAC是0000e26e4743，端口E3在Untrust zone，接外網。
執行命令set arp 192.168.0.52 0000e26e4744 e1，在E1端口對PC1的IP地址作一個靜態MAC地址綁定，但綁定的是一個錯誤的MAC地址0000e26e4744。
從PC1去ping外網的一台計算機，如果MAC地址綁定功能起作用的話，應該不能ping通。然而我們發現卻可以ping通。 .
通過debug看到，出去的包穿過防火牆，返回包也到達防火牆。在返回包中目的IP（192.168.0.52）的MAC地址是 0000e26e4743，自然返回包可以到達PC1。我們知道Netscreen默認返回包的目的MAC是取自session表中出去包的源MAC地址 （即0000e26e4743），它並不掃描ARP表，所以即使你將地址192.168.0.52錯誤地綁定到0000e26e4744，也不會起作用。
於是我們想到應該再執行命令set arp always-on-dest，強迫防火牆通過ARP掃描來獲得目的MAC地址，由於已經將地址192.168.0.52作了靜態ARP綁定，因此ARP 掃描將首先從靜態ARP表取目的MAC地址0000e26e4744，而這是個錯誤的MAC地址，所以返回包無法到達PC1。
在我們將綁定的MAC地址改為正確的0000e26e4743後，返回包正確到達PC1，宏觀上表現出IP/MAC地址綁定的功能。 .
由此看來，可以借助Netscreen靜態ARP綁定功能來實現MAC地址綁定，但它並不是阻擋信息包通過防火牆，而是控制返回包能否正確到達。
實現MAC綁定功能需要三個步驟：
1.作ARP靜態綁定：set arp 192.168.0.52 0000e26e4743 e1
2.強迫執行ARP目地IP掃描：set arp always-on-dest
3.設置一個地址組group，它只包含做MAC地址綁定的那些IP地址。然後設置一個策略，只讓這個地址組group通過。
使用MAC地址綁定要注意兩點：
* 只有那些和端口在同一網段的IP地址才能進行MAC地址綁定，僅適合單一網段的環境。
* 很多軟件可以輕而易舉地改變計算機信息包的MAC地址，防火牆無法識別真假MAC地址，由此造成系統不安全。
據我們測定，不少防火牆也是采用這個方法實現MAC地址綁定的。但也有一些防火牆是先判斷MAC地址是否匹配，然後再做策略匹配。我們認為這種方法比較合理，效率也高。

.

(責任編輯：admin) .

《相關文章》

Juniper防火牆常用命令

Juniper 設備維護常用命令

.

NETSCREEN防火牆的抗攻擊機制

Netscreen IMAC地址綁定的分析和實現

.

Netscreen 5GT的復位與OS的升級

ICMP數據包 重定向出錯

.

.

.

本文標題：Juniper netscreen 防火牆IP MAC地址綁定!
本文URL：
版權所有：本站作品,允許轉載，轉載時請以超鏈接形式標明文章，原始出處，作者信息。否則將追究法律責任

.

.