MAC地址過濾

出自 MBA智库百科(https://wiki.mbalib.com/)

　　MAC地址過濾是指對通過設備訪問網路的主機的MAC地址進行過濾，禁止或僅允許某些主機通過設備訪問網路。

　　第一步，查看本地主機的MAC地址。在此介紹一種命令行的方法。在windows98和windows me中，通過“開始”菜單中的“運行”功能，輸入“winipcfg”回車即可得到本地主機的IP地址：在windows2000、windows xp、windows7和vista中，首先通過運行“cmd”打開命令提示符視窗，再運行“ipconfig／all 命令，會得到兩大項的功能， 分別是Windows IP Configuration和Ethernetadapter，在Ethernet adapter(本地連接)項下PhysicalAddress後面的12位十六進位數字即為MAC地址。

　　第二步，在AP(無線接入點)配置MAC地址過濾。無線設備接入到WLAN需要依次經過兩個步驟：驗證和授權。MAC地址過濾發生在驗證過程之後。過程如下圖：

　　當終端設備檢測到AP的信號後，即可發出連接請求，首先是向AP發送身份驗證請求，在這個請求中包含目標網路的SSID，SSID需要在AP中設置，如果該網路為開放網路，SSID就為空，否則就不為空。AP就是根據客戶端發送的SSID來判斷是否通過驗證，當驗證通過後客戶端設備就可以連接AP了。此時就發生了MAC地址過濾，MAC地址過濾有兩種方式，第一種是白名單方式，指允許指定的MAC地址的信息通過而拒絕其他的MAC地址通過，即為；另一種是黑名單方式，指定的MAC地址的信息被拒絕通過外其他的地址均可通過。其中白名單方式的限制相對比較多，安全性也較高，比較適合終端設備比較固定的場合使用，而黑名單方式主要是為了封堵部分用戶而實現的。

　　MAC地址過濾位於AP中，會起到阻止非信任終端設備訪問的作用。在終端設備試圖與AP連接之前，MAC地址過濾會識別出非信任的MAC地址並阻止通信，使其不能訪問信任網路，但是終端設備仍然可以連接到AP，只是被禁止了進一步的訪問。由此可見，僅僅依靠MAC地址過濾是不夠的，還應該配合其他的策略才能達到較為安全的級別。

　　MAC地址過濾優點如下：

　　① 使用MAC地址過濾簡化了訪問控制，儘可能在網路邊界阻止了入侵。

　　② 接受預先確定的用戶。

　　⑧ 被過濾的MAC地址不能訪問。

　　④ 提供了第一層的訪問。

　　雖然MAC地址過濾有上述優點，但它有著與生俱來的一些缺點：

　　① 使用MAC地址過濾是管理負擔大。管理負擔取決乾訪問該無線網路的客戶端實際數量，客戶端越多，管理負擔越大。特別是單位因為員工的變動而增加、報廢硬體設備時，管理員就應該從訪問控制類表增加或者刪除使用相應MAC地址，這樣就會進一步加大管理負擔。

　　②使用MAC地址過濾無法檢測出非法的終端設備通過對使用MAC地址編程來欺騙使用MAC地址過濾。因為使用MAC地址過濾雖然能阻止非法的客戶端對信任網路的進一步訪問，但是它不能斷開客戶端與AP的連接，這樣就使得攻擊者可以嗅探到通信，並從幀中公開的位置獲取合法的使用MAC地址。然後通過對無線信號進行監控，一旦授權用戶沒有出現，入侵老就使用授權用戶使用的MAC地址進行訪問。

• MAC地址
• MAC地址認證