功能介紹:什麼是 IP/MAC 綁定?IP/MAC 綁定是一項強大的網路存取控制功能,它就像是為您的網路設定一份「設備白名單」。啟用後,您可以強制讓指定的 MAC 位址(設備)永遠取得一個固定的 IP 位址,並可搭配進階功能,阻擋不在名單內的設備存取網路。

此功能在需要嚴格控管設備存取權的環境中(如辦公室、教育機構)特別實用,能有效防止未經授權的設備擅自接入內部網路,或避免內部 IP 衝突。

適用對象與版本

適用型號:本篇教學適用於 ATP / USG FLEX / VPN 系列防火牆。

韌體版本:本篇教學的截圖與操作,基於 V5.40 (ABFW.0) 版本。

設定方法防火牆提供了兩種主要的方式來設定 IP/MAC 綁定:

方法一:從 DHCP 列表中快速綁定 (最常用)情境說明:一台設備已經透過 DHCP 連上網路,您希望將它當前取得的 IP 固定下來,未來都分配給它。

操作步驟:前往 【監控 > 網路狀態 > DHCP 列表】。找到您要綁定的設備(可使用上方的搜尋功能)。在該設備的條目上,點擊「綁定 (Reserve)」按鈕。完成:該設備的 IP 與 MAC 現已綁定。您也可以隨時在此處點擊「解除綁定 (Unreserve)」或「釋放 (Release)」。

方法二:在介面中手動新增綁定規則情境說明:您需要為一台尚未連上網路的設備(例如一台新伺服器),預先指定一個固定的 IP 位址。

操作步驟:前往 【設定 > 網路 > 介面】。雙擊您要設定綁定的介面(例如 lan1)進入編輯頁面。

捲動至下方的「靜態 DHCP 表格」區塊,點擊「新增」。輸入該設備的 IP 位址、MAC 位址及描述,然後儲存。

進階功能:啟用「DHCP 強制執行」在「靜態 DHCP 表格」旁,有一個「IP/MAC 綁定和 DHCP 強制執行」的選項。

⚠️ 警告:這是一個非常嚴格的資安功能,請充分了解其作用再啟用。

啟用後的效果:

白名單內的設備:可以正常使用其被綁定的靜態 IP。

白名單外的 DHCP 設備:仍然可以透過 DHCP 取得 IP 並正常上網。

白名單外的靜態 IP 設備:若有使用者手動設定一個不在白名單內的 IP 位址,該設備的所有流量都將被防火牆阻擋。

結論:

此功能的主要目的,是防止使用者私設靜態 IP 來繞過管理,而非阻擋所有未在名單內的 DHCP 使用者。

大量匯入 IP/MAC 綁定清單若您有大量設備需要設定,可使用批次匯入功能。

前往 【設定 > 網路 > 介面】,進入目標介面的編輯頁面。在「靜態 DHCP 表格」中,至少先手動新增一筆資料。

點擊「匯入 (Import)」按鈕,系統會讓您下載包含現有資料的 .csv 範本。

注意:請勿修改檔名與預設格式。描述欄位僅接受 [0-9], [a-z], [A-Z] 及 ()+/:=.*#@$_% 等字元。

回到防火牆頁面,點擊「瀏覽」並上傳您編輯好的檔案即可。

驗證與日常維護建議驗證將已綁定的設備重新啟動或重連網路,然後在設備上(例如 Windows 的 ipconfig)檢查其取得的 IP 位址是否為您所指定的。

維護建議當您汰換或新增設備時,請記得即時更新 IP/MAC 綁定規則。定期檢查綁定清單,移除已不再使用的無效設定。特別注意:隨機 MAC 位址請確保需要綁定的設備,已關閉其「私人 Wi-Fi 位址」或「隨機硬體位址」的功能。若啟用此功能,設備每次連線的 MAC 位址都不同,將導致您的綁定設定失效。