USG FLEX H 系列 -- 來源 IP 偽造防護

Zyxel小編 YM

在最新的 uOS 韌體版本中，Zyxel 增強了網路安全功能，推出了原本稱為 IP-MAC 綁定的 來源 IP 偽造防護功能。這項功能現在提供了更廣泛的功能性與更高的靈活性，協助網路管理員防止未經授權的 IP 偽造進入其網路環境。

什麼是來源 IP 偽造防護？

來源 IP 偽造防護通過驗證客戶端的 IP 和 MAC 地址，確保只有授權的設備能夠存取網路。此功能依據預先定義的策略，檢查 IP 和 MAC 地址是否一致且受信任，並阻止任何不匹配或偽造的地址取得存取權。

此功能的應用包括：

• 增強安全性：限制網路存取僅限於已知的設備。
• 阻止惡意行為：防止通過 IP 偽造模仿合法設備的行為。

來源 IP 偽造防護的主要組成部分

1. IP 和 MAC 地址綁定：

• 強制實施設備 IP 和 MAC 地址的一對一關係。
• 啟用後，只有註冊的 IP 和 MAC 配對客戶端可以存取網路資源。

2. 受信任的 IP：

• 根據 IP 獨立授權某些設備，無需驗證 MAC 地址。
• 適用於具有固定 IP 的設備，例如伺服器、印表機或路由器，這些設備本身已被信任，但可能不需要 MAC 驗證。

3. 適用於 DHCP 和靜態 IP 的配置：

• 支援通過 DHCP 動態分配的 IP 和靜態 IP。
• 對於 DHCP 分配的設備，防火牆會自動註冊 IP-MAC 配對，並在匹配時允許存取。
• 對於受信任的靜態 IP 設備，可以手動配置，簡化管理流程。

如何啟用和配置來源 IP 偽造防護

1. 前往安全性策略：

在 uOS 網頁 GUI 中，進入

Security Policy > Source IP Spoofing Prevention。

2. 啟用來源 IP 偽造防護：

• 切換功能開關以在選定的介面上啟用（例如，LAN、DMZ）。
• 根據設備需求，選擇強制執行 IP 和 MAC 綁定或僅信任 IP。

3. 設置受信任的設備：

• 對於靜態 IP 設備，在策略設置中配置受信任的 IP 或 IP 範圍。
• 創建多個 IP 地址或範圍的物件組，方便一次性套用多個設備的信任規則，提升管理效率。

4. 監控偽造嘗試：

• 系統會記錄任何未授權的 IP 或偽造的 MAC 地址的存取嘗試。
• 事件日誌提供有關 IP 偽造事件的詳細資訊，幫助快速監控和回應可疑活動。

來源 IP 偽造防護的優勢

• 增強網路安全性：防止 IP 偽造或不匹配的 IP-MAC 配對造成的未授權存取。
• 靈活的受信設備設置：根據安全需求，選擇僅信任 IP 或強制執行嚴格的 IP-MAC 綁定。

通過運用來源 IP 偽造防護，管理員可以大幅提升網路的安全性，確保只有經過身份驗證和授權的設備能夠存取網路。此功能升級提供了強大的防護，並為管理員提供高效的網路管理與監控工具，有效應對未授權存取的威脅。