防火牆 IP/MAC 綁定設定教學：強化內網存取控制

Zyxel小編 Corey

功能介紹：什麼是 IP/MAC 綁定？

IP/MAC 綁定是一項強大的網路存取控制功能，它就像是為您的網路設定一份「設備白名單」。啟用後，您可以強制讓指定的 MAC 位址（設備）永遠取得一個固定的 IP 位址，並可搭配進階功能，阻擋不在名單內的設備存取網路。

此功能在需要嚴格控管設備存取權的環境中（如辦公室、教育機構）特別實用，能有效防止未經授權的設備擅自接入內部網路，或避免內部 IP 衝突。

適用對象與版本

適用型號：本篇教學適用於 ATP / USG FLEX / VPN 系列防火牆。

韌體版本：本篇教學的截圖與操作，基於 V5.40 (ABFW.0) 版本。

設定方法

Nebula 提供了兩種主要的方式來設定 IP/MAC 綁定：

方法一：從 DHCP 列表中快速綁定 (最常用)

情境說明：

一台設備已經透過 DHCP 連上網路，您希望將它當前取得的 IP 固定下來，未來都分配給它。

操作步驟：

1. 前往 【監控 > 網路狀態 > DHCP 列表】。
2. 找到您要綁定的設備（可使用上方的搜尋功能）。
3. 在該設備的條目上，點擊「綁定 (Reserve)」按鈕。

• 完成：該設備的 IP 與 MAC 現已綁定。您也可以隨時在此處點擊「解除綁定 (Unreserve)」或「釋放 (Release)」。

方法二：在介面中手動新增綁定規則

情境說明：

您需要為一台尚未連上網路的設備（例如一台新伺服器），預先指定一個固定的 IP 位址。

操作步驟：

1. 前往 【設定 > 網路 > 介面】。
2. 雙擊您要設定綁定的介面（例如 lan1）進入編輯頁面。
3. 捲動至下方的「靜態 DHCP 表格」區塊，點擊「新增」。
4. 輸入該設備的 IP 位址、MAC 位址及描述，然後儲存。

進階功能：啟用「DHCP 強制執行」

在「靜態 DHCP 表格」旁，有一個「IP/MAC 綁定和 DHCP 強制執行」的選項。

⚠️ 警告：這是一個非常嚴格的資安功能，請充分了解其作用再啟用。

啟用後的效果：

白名單內的設備：可以正常使用其被綁定的靜態 IP。

白名單外的 DHCP 設備：仍然可以透過 DHCP 取得 IP 並正常上網。

白名單外的靜態 IP 設備：若有使用者手動設定一個不在白名單內的 IP 位址，該設備的所有流量都將被防火牆阻擋。

結論：

此功能的主要目的，是防止使用者私設靜態 IP 來繞過管理，而非阻擋所有未在名單內的 DHCP 使用者。

大量匯入 IP/MAC 綁定清單

若您有大量設備需要設定，可使用批次匯入功能。

1. 前往 【設定 > 網路 > 介面】，進入目標介面的編輯頁面。
2. 在「靜態 DHCP 表格」中，至少先手動新增一筆資料。
3. 點擊「匯入 (Import)」按鈕，系統會讓您下載包含現有資料的 .csv 範本。
4. 注意：請勿修改檔名與預設格式。描述欄位僅接受 [0-9], [a-z], [A-Z] 及 ()+/:=.*#@$_% 等字元。
5. 回到 Nebula 頁面，點擊「瀏覽」並上傳您編輯好的檔案即可。

驗證與日常維護建議

• 驗證將已綁定的設備重新啟動或重連網路，然後在設備上（例如 Windows 的 ipconfig）檢查其取得的 IP 位址是否為您所指定的。
• 維護建議
  • 當您汰換或新增設備時，請記得即時更新 IP/MAC 綁定規則。
  • 定期檢查綁定清單，移除已不再使用的無效設定。
• 特別注意：隨機 MAC 位址請確保需要綁定的設備，已關閉其「私人 Wi-Fi 位址」或「隨機硬體位址」的功能。若啟用此功能，設備每次連線的 MAC 位址都不同，將導致您的綁定設定失效。