萬盛學電腦網

 萬盛學電腦網 >> 安全資訊防護 >> Juniper netscreen 防火牆IP MAC地址綁定!

Juniper netscreen 防火牆IP MAC地址綁定!

在Netscreen綁定中信息包的流動,找出實現的方法並推測出其實現的機理。
假設在內網Trust zone的E1端口接有計算機PC1,它的IP是192.168.0.52, MAC是0000e26e4743,端口E3在Untrust zone,接外網。
執行命令set arp 192.168.0.52 0000e26e4744 e1,在E1端口對PC1的IP地址作一個靜態MAC地址綁定,但綁定的是一個錯誤的MAC地址0000e26e4744。
從PC1去ping外網的一台計算機,如果MAC地址綁定功能起作用的話,應該不能ping通。然而我們發現卻可以ping通。 .
通過debug看到,出去的包穿過防火牆,返回包也到達防火牆。在返回包中目的IP(192.168.0.52)的MAC地址是 0000e26e4743,自然返回包可以到達PC1。我們知道Netscreen默認返回包的目的MAC是取自session表中出去包的源MAC地址 (即0000e26e4743),它並不掃描ARP表,所以即使你將地址192.168.0.52錯誤地綁定到0000e26e4744,也不會起作用。
於是我們想到應該再執行命令set arp always-on-dest,強迫防火牆通過ARP掃描來獲得目的MAC地址,由於已經將地址192.168.0.52作了靜態ARP綁定,因此ARP 掃描將首先從靜態ARP表取目的MAC地址0000e26e4744,而這是個錯誤的MAC地址,所以返回包無法到達PC1。
在我們將綁定的MAC地址改為正確的0000e26e4743後,返回包正確到達PC1,宏觀上表現出IP/MAC地址綁定的功能。 .
由此看來,可以借助Netscreen靜態ARP綁定功能來實現MAC地址綁定,但它並不是阻擋信息包通過防火牆,而是控制返回包能否正確到達。
實現MAC綁定功能需要三個步驟:
1.作ARP靜態綁定:set arp 192.168.0.52 0000e26e4743 e1
2.強迫執行ARP目地IP掃描:set arp always-on-dest
3.設置一個地址組group,它只包含做MAC地址綁定的那些IP地址。然後設置一個策略,只讓這個地址組group通過。
使用MAC地址綁定要注意兩點:
* 只有那些和端口在同一網段的IP地址才能進行MAC地址綁定,僅適合單一網段的環境。
* 很多軟件可以輕而易舉地改變計算機信息包的MAC地址,防火牆無法識別真假MAC地址,由此造成系統不安全。
據我們測定,不少防火牆也是采用這個方法實現MAC地址綁定的。但也有一些防火牆是先判斷MAC地址是否匹配,然後再做策略匹配。我們認為這種方法比較合理,效率也高。

.

(責任編輯:admin) .


  • 《相關文章》
  • Juniper防火牆常用命令
  • Juniper 設備維護常用命令
  • .

  • NETSCREEN防火牆的抗攻擊機制
  • Netscreen IMAC地址綁定的分析和實現
  • .

  • Netscreen 5GT的復位與OS的升級
  • ICMP數據包 重定向出錯
  • .

    .

    .

    本文標題:Juniper netscreen 防火牆IP MAC地址綁定!
    本文URL:
    版權所有:本站作品,允許轉載,轉載時請以超鏈接形式標明文章,原始出處,作者信息。否則將追究法律責任

    .

    .

    copyright © 萬盛學電腦網 all rights reserved