防ARP攻击的五大方案(上)

日期: 2008-10-19 作者:十月天堂 来源:TechTarget中国 英文

    方案一、对网络划分独立VLAN来隔离

    如果一个网络部署时,能够要求每台PC被划分在各自独立的VLAN中。例如,在酒店中通常就可以给每个客房的PC配置独立的VLAN ID。这样,即使某台PC终端感染了ARP病毒,那它也无法攻击其它VLAN中的PC和网络设备。下面是H3C相应的详细解决方案。
    
    解决方案要点:

  • 为每个PC终端或服务器配置独立VLAN ID,隔离相互间的ARP协议。
  • 如果VLAN是配置在核心交换机和接入交换机上,可以进一步部署”核心层防ARP病毒攻击方案”实现全面防御,详见下文相关部分介绍。
  • 如果VLAN是配置在路由器和接入交换机上,可以进一步部署”路由器防ARP病毒攻击方案”实现全面防御,详见下文相关部分介绍。

对网络划分独立VLAN来隔离

    方案局限性:

    如果组网能满足这种要求,就可以采用比较低端的交换机,从接入层就全面地防范了ARP病毒攻击。

    不过,这种方案对设备支持VLAN的性能要求较高,配置很多VLAN导致多网段管理复杂。另外,除了酒店之外,一般网络出于文件共享、应用程序间通信等客户要求,不可能实现每个PC划分一个VLAN,仅是对主要功能区部署VLAN隔离,因此该方案应用范围有特殊性,是特定应用场景下的完美解决方案。

    方案二、部署”防ARP攻击”接入交换机

    对有实力的企业或新建网络的企事业单位,最佳手段是全网部署”防ARP攻击”接入交换机,可以彻底地解决ARP病毒攻击问题,从接入层就过滤掉各种ARP欺骗报文。下面是H3C相应的详细解决方案。
    
    情况一:局域网内PC动态分配IP地址,server静态分配地址

    解决方案要点:

  • 每台接入交换机启动DHCP Snooping
  • 每台接入交换机启动ARP Detection
  • 每台接入交换机配置静态ARP绑定表(仅需对服务器、网关的ARP表项进行绑定)

局域网内PC动态分配IP地址,server静态分配地址

    情况二:局域网内PC和server均静态分配地址

    解决方案要点:

  • 每台接入交换机配置静态ARP绑定(通过手工方式对每台PC、服务器、网关的ARP表项进行逐条绑定)
  • 对于支持”一键绑定”的接入交换机,可以在其下挂PC终端都能正常上网时,一键配置将当前ARP绑定表设置为静态不可更改,简化ARP绑定表配置工作量。

    方案局限性:

    从接入层防范ARP攻击解决方案是一个完美的ARP病毒防御方案。但因为在接入层选用了较高档次的交换机设备,成本相对高些。

    在实际组网中,可以根据网络各个区域的不同安全等级,将上述方案有机地结合在一起,从而实现既能完善地防范ARP病毒,又尽可能地节省设备投资。

    例如,为了保留接入层防御的完美效果,又期望进一步降低投资,可以采用核心交换机和接入交换机联动防ARP攻击方案,在核心层采用较高档次的交换机设备,在接入层采用可联动防ARP攻击的简单交换机,通过核心交换机和接入交换机之间的联动,来实现防ARP攻击。这样一方面降低了成本,另一方面充分体现了智能网络的特点。下面是H3C相应的详细解决方案。
    
    情况一:局域网内PC动态分配IP地址,server静态分配地址

    解决方案要点:

  • 核心交换机启动DHCP Snooping
  • 核心交换机启动授权ARP
  • 核心交换机配置静态ARP绑定(服务器、网关的ARP表)
  • 启动核心交换机和接入交换机的ARP联动功能
  • 每台接入交换机启动ARP攻击防护功能

局域网内PC动态分配IP地址,server静态分配地址

    情况二:局域网内PC和server均静态分配地址

    解决方案要点:

  • 核心交换机配置静态ARP绑定(服务器、网关的ARP表)
  • 对于支持”一键绑定”的核心交换机,可以在其下挂PC终端都能正常上网时,一键配置将当前ARP绑定表设置为静态不可更改,简化ARP绑定表配置工作量。
  • 启动核心交换机和接入交换机的ARP联动功能
  • 每台接入交换机启动ARP攻击防护功能

    方案局限性:

    该方案也是一种从接入层全面防范ARP病毒攻击的完美方案,方案成本也较低,需要整网实施和部署。

我们一直都在努力坚持原创.......请不要一声不吭,就悄悄拿走。

我原创,你原创,我们的内容世界才会更加精彩!

【所有原创内容版权均属TechTarget,欢迎大家转发分享。但未经授权,严禁任何媒体(平面媒体、网络媒体、自媒体等)以及微信公众号复制、转载、摘编或以其他方式进行使用。】

微信公众号

TechTarget微信公众号二维码

TechTarget

官方微博

TechTarget中国官方微博二维码

TechTarget中国

电子邮件地址不会被公开。 必填项已用*标注

敬请读者发表评论,本站保留删除与本文无关和不雅评论的权力。

相关推荐

  • 无线路由器ARP攻击故障排除技巧

    企业网络办公化也正式步入了无线网的领域中。大量的无线路由器被用于企业中,使得针对无线网络的故障诊断和安全保障变得与有线网络一样重要。

  • 防ARP攻击的五大方案(下)

    面对ARP攻击,切断传播途径,对其进行隔离无疑是一种十分有效的方案,那么,每一个方案具体该怎样实施呢?

  • 巧设路由器 防止ARP攻击

    不少企业都采用路由绑定电脑IP/MAC地址去防止ARP攻击,然而,大量的努力之后,ARP攻击仍然四处横行,到底是什么地方出了问题?

  • 巡路免疫墙 首选ARP攻击防护软件

    70%以上企业常见的内网攻击就是ARP攻击了,企业网管对此很是头疼,选购什么样的内网安全管理软件才能保证网络安全呢?