关于内网管理中更改网卡mac地址的探讨

作为一个年轻的网管
今天在帮其他人排障的过程中学到了更改网卡mac地址然后再重新上网。。

大概过程是：有个人发现无法登陆外网网页，经测试发现获取地址正常，网卡功能正常（内网网页能打开），到外网的tracert中到防火墙就拦截了。
然后想到应该该用户上了某防火墙默认禁止的网页或者应用触发了防火墙的封禁
（但是有点也很奇怪，防火墙都是默认配置，基本没有做任何策略禁止，不过有一台外挂旁路模式的AC行为管理器倒是做了非法网页及应用的禁止策略）
大致拓扑是 出口--防火墙--核心交换机(旁路外挂了一台Ac做审计）

然后同事中的老司机就叫更改了该终端的网卡的mac地址，手动分配了一个地址就可以顺利上网了（原来都是dhcp获取）


话说我做了网络相关好几年了。。。。还真不知道可以通过改网卡mac地址来重新通过AC/AF的审查。。。。这样的话 只要会改网卡地址 那不是可以无限次地去试探AC/AF审查机制。。。这算不算是一个漏洞呢。。我发现那个地址乱改都可以 比如我们改了一个 001122334455的地址，只要手动分配同网段的地址 就能正常上网。。汗~~

以前只知道某些封禁是直接封终端硬件mac地址的，比如steam上面的ban就是直接ban你电脑的主板mac地址，虽然主板mac地址也可以通过某种技术途径重新写入，不过貌似非常麻烦。。。

欢迎各位大神一起探讨下。。。AC/AF都是深信服的，也不算太老，都是这几年的产品