冰川一体化接入控制器防ARP方案.pdfVIP

冰川网络 高品质保证 冰川一体化接入控制器防ARP 方案 针对目前流行的 ARP 攻击，冰川一体化接入控制器提供如下的方案以防范 ARP 攻击: 对于ARP 攻击，最重要的不是在灾难发生时候再去修补，而是要避免灾难的 发生。当arp 病毒大规模爆发时，一台机器每秒的发包数目可达到数万个数据包。 当有多台这样的机器狂发病毒报文时，再厉害的网络设备也撑不住，所以解决的 办法唯有不让用户的机器狂发数据包，保证网络的纯净和绿色。冰川一体化接入 控制器从下面几个角度在对ARP 进行防范。 1 要求所有接入网络的计算机进行实名认证上网。这样管理员就对整个网络的 终端和用户有一个直观的了解。并且强制用户使用客户端认证(要访问网络。必 须安装认证客户端软件) 。客户端软件和一体化接入控制器配合使用，可以必须 要求用户安装特定的安全软件，比如可以设定强制要求用户安装arp 防火墙软件, 或者杀毒软件。如图所示，当用户接入网络进行认证时候，如果没有安装指定的 安全软件 （金山ARP 防火墙），则会提示如下: 并给出用户一个下载地址，用户点击即可直接下载该软件。 在管理界面中，管理员可以根据情况对用户的接入合法性进行一定的设置，如 图所示： 冰川网络 高品质保证 当所有的人都安装arp 防火墙后，则也就没有arp 的威胁了。（arp 防火墙可防 止用户自身发送arp 攻击报文并方法其他机器的arp 攻击） 2 通过一体化接入控制器配合二层交换机，可以将子网划分的很细。比如一个 子网仅有64 台主机。这样来把arp 攻击减小到最小。即便是某一台机器发送arp 攻击。由于子网较小，其攻击范围也很小。不会影响到其他的用户。 3 一体化接入控制器本身支持IP 地址和MAC 地址绑定功能。如图所示： 在作为网关的一体化接入控制器上可对 IP 和MAC 地址进行静态绑定。这样 冰川网络 高品质保证 能有效防范ARP 病毒针对网关的攻击。 4 认证客户端本身支持ARP 通告功能。定时向网关通告自己正确的MAC 地 址。以防止被ARP 欺骗。 5 在一体化接入控制器上，自带数据包监控工具。如图所示： 管理员通过该工具，也可以方便的查看内网中毒的机器。再配合实名用户管理 系统。可以很方便的定位到直接中毒的用户。然后可电话通知用户修复计算机。 通过以上5 种方案的配合使用。经实际用户测试，可基本杜绝ARP 病毒对网 络造成的影响。