iKuai爱快流控路由

 找回密码
 立即注册

QQ登录

只需一步,快速开始

查看: 2159|回复: 2
打印 上一主题 下一主题

[行为管理] 关于防止IP地址被恶意盗用的一个ideal

[复制链接]
跳转到指定楼层
楼主
发表于 2019-3-26 18:10:32 | 只看该作者 回帖奖励 |倒序浏览 |阅读模式
需求建议
目前版本: 3.1.7 x64 Enterprise Build201903181458
使用环境: 企业事业单位 
需求程度: 我好紧急的
联系方式(仅官方人员可见): 您无权查看此信息
类似功能截图: -
突然想到一个防止IP地址被恶意盗用的办法,
如果路由器的ARP表不再自动维护,不自动生成,
路由器系统必须 随着DHCP,或者拔号或者什么动作,来添加ARP表绑定。
也可以人为绑定静态项。

如果下面的用户手动指定IP地址,路由器的ARP表根本不会生成对应的项目,也就不能和路由器通讯了。

想要和路由器通讯,要么管理员手动设置ARP对应项,要么通过DHCP或者拔号动作、认证动作,让系统向ARP表里面添加对应项目。这些也是掌握在管理员手里的。

可行吗?
分享到:  QQ好友和群QQ好友和群 QQ空间QQ空间 腾讯微博腾讯微博 腾讯朋友腾讯朋友
收藏收藏 支持支持 反对反对
沙发
发表于 2019-3-27 14:20:32 | 只看该作者
主机的IP如何获取或者设置,路由是无法完全有效控制的,比如内网可能有其它DHCP Server,或者有人手动去设置,这两种情况路由都无法控制;路由能做的就是不转发未绑定mac的数据,但是非法占用IP的主机还是可以和内网其它主机通信,除非每台主机都是单独的vlan;所以最有效的方式还是在接入交换机端口上做限制,比如三元绑定(IP+MAC+端口)
板凳
 楼主| 发表于 2019-3-29 18:58:50 | 只看该作者
并不需要做到让用户无法自定义IP地址。
目前,路由是可以做到不转发未绑定mac的数据。

但是我觉得在“不转发未绑定mac的数据”的基础上,还可以做得更细致一点。
主贴里提到的,通过DHCP自动维护ARP表,可以减轻管理员的工作量,不需要同时维护ARP绑定表和DHCP静态绑。
如果路由的ARP表里,根本没有出现某些MAC地址,他们连访问路由器的机会都没有,安全性更上一层楼。
您需要登录后才可以回帖 登录 | 立即注册

本版积分规则

关闭

站长推荐上一条 /1 下一条

QQ|小黑屋|手机版|Archiver|论坛规章制度|iKuai Inc. ( 京ICP备13042604号 )

GMT+8, 2024-11-1 08:01

Powered by Discuz! X3.3

© 2001-2024 Comsenz Inc.

快速回复 返回顶部 返回列表