【正文】 部范圍內(nèi)會(huì)發(fā)生 ARP 中毒行為，甚至可能會(huì)引起中間人攻擊。 另外由于 ARP 欺騙攻擊，經(jīng)常伴隨者發(fā)送大量的 ARP 報(bào)文，消耗網(wǎng)絡(luò)帶寬資源和交換機(jī) CPU資源，造成網(wǎng)絡(luò)速度的速度降低。若 ARP 報(bào)文中的發(fā)送者源 MAC、 IP 匹配綁定表中的內(nèi)容，則認(rèn)為是合法的報(bào)文，允許通過(guò)；否則認(rèn)為是欺騙攻擊報(bào)文，就進(jìn)行丟棄。 DHCP Snooping 通過(guò)監(jiān)測(cè) DHCP報(bào)文記錄了用戶的 IP/MAC/VLAN/PORT 等信息，并形成一個(gè) DHCP Snooping綁定表。 在接入層就是利用接入交換機(jī)的 ARP 入侵檢測(cè)（ ARP Intrusion Inspection）功能，進(jìn)行 ARP欺騙攻擊防御。以下就從這三個(gè)方面描述 H3C如何能做到有效防御 ARP 欺騙攻擊的。因此對(duì)于不能在全網(wǎng)接入交換機(jī)部署 ARP 入侵檢測(cè)的情況，還需要通過(guò)部署端點(diǎn)準(zhǔn)入系統(tǒng)或者安全接入認(rèn)證系統(tǒng)（ iMC/EAD 系統(tǒng)）， 進(jìn)一步加強(qiáng) ARP 欺騙攻擊的控制和管理。 對(duì)于不能在全網(wǎng)接入交換機(jī)部署 ARP 入侵檢測(cè)的網(wǎng)絡(luò)，不能單純靠網(wǎng)絡(luò)設(shè)備進(jìn)行 ARP 欺騙攻擊防御。為了防止出現(xiàn) ARP 中毒引起的中間人攻擊，最好在網(wǎng)絡(luò)核心交換機(jī)或者匯聚三層交換機(jī)上部署 ARP 欺騙防御策略 。在接入層交換機(jī)上采取的這種技術(shù)，我們稱為 ARP 入侵檢測(cè)。 . H3C 助您全面防御 ARP 欺騙攻擊 由于 ARP 欺騙攻擊，利用了 ARP 協(xié)議的設(shè)計(jì)缺陷，光靠包過(guò)濾、 IP＋ MAC＋端口綁定等傳統(tǒng)辦法是比較難解決的。 由于 ARP 中毒后，所有的流量都需要經(jīng)過(guò)攻擊者進(jìn)行轉(zhuǎn)發(fā)。通過(guò)不斷發(fā)送這些偽造的 ARP 報(bào) 文，讓局域網(wǎng)上所有的主機(jī)和網(wǎng)關(guān) ARP 表，其對(duì)應(yīng)的 MAC 地址均為攻擊者的 MAC 地址，這樣所有的網(wǎng)絡(luò)流量都會(huì)發(fā)送給攻擊者主機(jī)。 . ARP 欺騙攻擊的原理 局域網(wǎng)上的一臺(tái)主機(jī)，如果接收到一個(gè) ARP 報(bào)文，即使該報(bào)文不是該主機(jī)所發(fā)送的 ARP 請(qǐng)求的應(yīng)答報(bào)文，該主機(jī)也會(huì)將 ARP 報(bào)文中的發(fā)送者的 MAC 地址和 IP 地址更新或加入到 ARP 表中。 為什么殺毒軟件、防火墻都擋不住 ARP 欺騙攻擊呢？主要由于 ARP欺騙攻擊的木馬程序，通常會(huì)偽裝成常用軟件的一部分被下載并被激活，或者作為網(wǎng)頁(yè)的一部分自動(dòng)傳送到瀏覽者的電腦上并被激活，或者通過(guò) U盤、移動(dòng)硬盤等方式進(jìn)入網(wǎng)絡(luò)。如果局域網(wǎng)內(nèi)某臺(tái)主機(jī)運(yùn)行 ARP 欺騙的木馬程序時(shí)，會(huì)欺騙局域網(wǎng)內(nèi)所有主機(jī)和網(wǎng)關(guān)，讓所有網(wǎng)絡(luò)流量都經(jīng)過(guò)攻擊者主機(jī)進(jìn)行轉(zhuǎn)發(fā)，攻擊者通過(guò)截獲的信息可得到游戲、網(wǎng)銀、文件服務(wù)等系統(tǒng)的用戶名和口令，這種攻擊行為就稱為中間人攻擊。這些都可能是由于存在 ARP 欺騙攻擊及 ARP 中毒，所表現(xiàn)出來(lái)的網(wǎng)絡(luò)故障情況。 . DHCP 攻擊防范設(shè)計(jì) ? 啟動(dòng) DHCP Snooping，將合法 DHCP Server 的端口設(shè)為信任端口，其他端口默認(rèn)情況下 均為非信任端 口； ? 用戶發(fā)出 DHCP Request； ? 攻擊者將自己的服務(wù)器設(shè)置成 DHCP Server 并發(fā)出錯(cuò)誤的 DHCP Offer； ? 交換機(jī)自動(dòng)丟棄所有非信任端口發(fā)出的 DHCP Offer； ? 用戶采用正確的 DHCP Server 發(fā)出 DHCP Offer。當(dāng)交換機(jī)一個(gè)端口的 MAC 地址的數(shù)目已經(jīng)達(dá)到允許的最大個(gè)數(shù)后，如果該端口收到一個(gè)源地址不屬于端口上的 MAC 安全地址的包時(shí)，交換機(jī)則采取措施。 . H3C 防 DHCP 攻擊設(shè)計(jì) . DHCP 攻擊介紹 ? DHCP 攻擊之一 惡意用戶通過(guò)更換 MAC 地址的方式向 DHCP Server 發(fā)送大量的 DHCP 請(qǐng)求，以消耗 DHCP Server 可分配的 IP 地址為目的，使得合法用戶的 IP 請(qǐng)求無(wú)法實(shí)現(xiàn)。 ? 靈活方便的部署方式 EAD 方案部署靈活，維護(hù)方便。 ? 擴(kuò)展開(kāi)放的解決方案 EAD 解決方案為客戶提供了一個(gè)擴(kuò)展、開(kāi)放的結(jié)構(gòu)框架，最大限度的保護(hù)了用戶已有的投資。 ? 基于角色的網(wǎng)絡(luò)授權(quán) 在用戶終端通過(guò)病毒、補(bǔ)丁等安全信息檢查后， EAD 可基于終端用戶的角色，向安全聯(lián)動(dòng)設(shè)備下發(fā)事先配置的接入控制策略，按照用戶角色權(quán)限規(guī)范用戶的網(wǎng)絡(luò)使用行為。 ? 完備的安全狀態(tài)評(píng)估 根據(jù)管理員配置的安全策略，用戶可以進(jìn)行的安全認(rèn)證檢查包括終端病毒庫(kù)版本檢查、終端補(bǔ)丁檢查、終端安裝的應(yīng)用軟件檢查、是否有代理、撥號(hào)配置等；為了更好的滿足客戶的需求， EAD客戶端支持和微軟 SMS、 LANDesk、 BigFix等業(yè)界桌面安全產(chǎn)品的配合使用 ，支持和瑞星、江民、金山、 Symantec、 MacAfee、 Trend Micro、 Ahn 等國(guó)內(nèi)外主流病毒廠商聯(lián)動(dòng)。當(dāng)用戶通過(guò)身份認(rèn)證但安全認(rèn)證失敗時(shí)，將被隔離到隔離區(qū)，此時(shí)用戶能且僅能訪問(wèn)隔離區(qū)中的服務(wù)器，通過(guò)第三方服務(wù)器進(jìn)行自身安全修復(fù)，直到滿 足安全策略要求。安全策略服務(wù)器由 H3C EAD 桌面安全管理服務(wù)器承擔(dān)。 安全策略服務(wù)器： 它要求和安全聯(lián)動(dòng)設(shè)備路由可達(dá)。 EAD 提供了靈活多樣的組網(wǎng)方案，安全聯(lián)動(dòng)設(shè)備可以根據(jù)需要靈活部署在網(wǎng)絡(luò)的各個(gè)層次。 H3C EA D 解決方案架構(gòu)S 9 5 0 8網(wǎng)絡(luò)中心W X3 0 2 4S3 1 0 0補(bǔ)丁服務(wù)器補(bǔ)丁服務(wù)器病毒服務(wù)器病毒服務(wù)器S5 5 0 0 EIS3 6 0 0隔離區(qū)不符合安全策略的用戶安全客戶端安全客戶端安全聯(lián)動(dòng)設(shè)備安全聯(lián)動(dòng)設(shè)備E A D 安全策略組件安全策略組件S e cP a thL 2 T P /I P S e c通道I n te r n e tL 2 T P /I P S e c通道? 最精細(xì)的用戶權(quán)限管理 ：基于 A CL 直接控制用戶的訪問(wèn)權(quán)限，避免傳統(tǒng) V L A N 控制方式下單端口單用戶組網(wǎng)限制? 最廣泛的接入方式：可與交換機(jī)、路由器、防火墻、無(wú)線等多種網(wǎng)絡(luò)設(shè)備配合? 最便捷的客戶端部署 ：支持客戶端 W e b 推送、定制安裝、靜默安裝，大大降低部署工作量和維護(hù)難度 ；? 最靈活的補(bǔ)丁管理 ：可與微軟 S M S （ W S US ）無(wú)縫集成實(shí)現(xiàn)系統(tǒng)補(bǔ)丁自動(dòng)檢測(cè)和升級(jí)；? 最全面的防病毒聯(lián)動(dòng) ： 支持業(yè)內(nèi)所有主流防病毒廠商聯(lián)動(dòng)? 最嚴(yán)格的終端軟件控制： 支持黑白軟件檢查，保證企業(yè) IT 政令暢通無(wú)阻，可與 L A N De sk 、B igF i x 、微軟 S M S 等無(wú)縫聯(lián)動(dòng)W A 2 2 1 0 安全客戶端： 是指安裝了 H3C iNode 智能客戶端的用戶接入終端，負(fù)責(zé)身份認(rèn)證的發(fā)起和安全策略的檢查。通過(guò)安全認(rèn)證后，用戶可以正常使用網(wǎng)絡(luò)，與此同時(shí)， EAD 可以對(duì)用戶終端 運(yùn)行情況和網(wǎng)絡(luò)使用情況進(jìn)行審計(jì)和監(jiān)控。 H3C端點(diǎn)準(zhǔn)入防御（ EAD， Endpoint Admission Defense）解決方案從控制用戶終端安全接入網(wǎng)絡(luò)的角度入手，整合網(wǎng)絡(luò)接入控制與終端安全產(chǎn)品，通過(guò)安全客戶端、安全策略服務(wù)器、網(wǎng)絡(luò)設(shè)備以及第 三方軟件的聯(lián)動(dòng)，對(duì)接入網(wǎng)絡(luò)的用戶終端強(qiáng)制實(shí)施企業(yè)安全策略，嚴(yán)格控制終端用戶的網(wǎng)絡(luò)使用行為，有效地加強(qiáng)了用戶終端的主動(dòng)防御能力，為網(wǎng)絡(luò)管理人員提供了有效、易用的管理工具和手段。保證用戶終端的安全、阻止威脅入侵網(wǎng)絡(luò)，對(duì)用戶的網(wǎng)絡(luò)訪問(wèn)行為進(jìn)行有效的控制，是保證網(wǎng)絡(luò)安全運(yùn)行的前提，也是目前急需解決的問(wèn)題。從設(shè)備本身的功能即可保證網(wǎng)絡(luò)安 全。因此我們建議衡鋼在綜合業(yè)務(wù)系統(tǒng)遷移的可靠性，網(wǎng)絡(luò)的可靠性，網(wǎng)絡(luò)彈性以及業(yè)務(wù)對(duì)網(wǎng)絡(luò)收斂速度的要求等多方面考慮后，在接入層和核心層所有設(shè)備上啟用 OSPF 動(dòng)態(tài)路由協(xié)議，提高整個(gè)系統(tǒng)的可靠性，吞吐能力和收斂速度。一些安全特性的配合使用，更能增強(qiáng)網(wǎng)絡(luò)的健壯性：在網(wǎng)絡(luò)邊緣直接與用戶相連的端口可以配置邊緣端口和 BPDU 保護(hù)，防止從這些端口接收到 BPDU 報(bào)文引起網(wǎng)絡(luò)拓?fù)渥兓辉趨R聚網(wǎng)關(guān)上配置 TC保護(hù)和根保護(hù)特性，防止攻擊造成拓?fù)漕l繁變化；在接入交換機(jī)上啟用 DHCP Snooping和 ARP 入侵檢測(cè) 功能，能夠有效防御 ARP 欺騙攻擊。 衡陽(yáng)華菱連軋管有限公司網(wǎng)絡(luò)協(xié)議設(shè)計(jì)H3 C S 9 5 0 8 H3 C S 9 5 0 8H3 C i M C( E A D/X l o g )OAE m a ilE RP應(yīng)用服務(wù)器Ca ta l yst 6 5 0 9Ca ta l yst 3 5 5 0Ca ta l yst 2 9 5 0 /HUB原有網(wǎng)絡(luò)H3 C S 5 5 0 0 2 8 C/5 2 C EI H3 C S 3 6 0 0 2 8 P /5 2 P EIVR R P1 m a s t e rVR R P2 b a ck u pVR R P2 m a s t e rVR R P1 b a ck u p客戶端部署 H 3 C i N o d e 實(shí)現(xiàn)對(duì)用戶的認(rèn)證、計(jì)費(fèi)和授權(quán)控制接入交換機(jī)：1 . V C T 虛擬電纜檢測(cè)協(xié)議發(fā)現(xiàn)物理故障；2. 邊緣端口B P D U 保護(hù)雙鏈路冗余保護(hù)接入交換機(jī)支持D H C P S n o o p i n g和 A R P 入侵檢測(cè)功能，有效防御各類 A R P 欺騙攻擊威脅核心及接入交換機(jī)均支持 D L D P協(xié)議，實(shí)現(xiàn)光纖故障告警配置多個(gè) V R R P組實(shí)現(xiàn)負(fù)載分擔(dān)核心交換機(jī)配置N e t st r e a m 網(wǎng)流分析板結(jié)合 X l o g可對(duì)全網(wǎng)數(shù)據(jù)流量進(jìn)行實(shí)時(shí)統(tǒng)計(jì)分析核心交換機(jī)配置N A T 板可確保服務(wù)器和終端 IP 地址不做修改的情況下實(shí)現(xiàn)新老網(wǎng)絡(luò)的互訪 核心層設(shè)備通過(guò) VRRP協(xié)議進(jìn)行網(wǎng)關(guān)備份，在這個(gè)網(wǎng)絡(luò)中，通過(guò)合理規(guī)劃 VRRP group master、生成樹(shù)實(shí)例和生成樹(shù)實(shí)例與 VLAN 映射的關(guān)系，可提高網(wǎng)絡(luò)鏈路利用率和可靠性。通過(guò) VLAN 隔離區(qū)域用戶，同一VLAN 內(nèi)用戶可方便互訪。支持對(duì) Proxy 進(jìn)行有效的管理。可以實(shí)現(xiàn)基于 MAC 地址允許 /限制流量，或者設(shè)定每個(gè)端口允許的 MAC 地址的最大數(shù)量，使得某個(gè)特定端口上的 MAC 地址可以由管理員靜態(tài)配置，或者由交換機(jī)動(dòng)態(tài)學(xué)習(xí)。另外，利用 DHCP Snooping的信任端口特性還可以有效杜絕局域網(wǎng)內(nèi)用戶私設(shè) DHCP服務(wù)器，保證 DHCP 環(huán)境的真實(shí)性和一致性。 H3C S5500 系列和 S3600 系列以太網(wǎng)交換機(jī)支持特有的 ARP 入侵檢測(cè)功能，可有效防止黑客或攻擊者通過(guò) ARP 報(bào)文實(shí)施網(wǎng)絡(luò)中常見(jiàn)的“中間人”攻擊， H3C接入層以太網(wǎng)交換機(jī)所支持的 ARP 入侵檢測(cè)功能和 DHCP Snooping 功能配合使用，可以對(duì)不符合 DHCP Snooping動(dòng)態(tài)綁定表或手工配置的靜態(tài)綁定表的非法 ARP 欺騙報(bào)文直接丟棄。接入層交換機(jī)具備 24 端口和 48 端口兩種機(jī)型，滿足不同安裝地點(diǎn)信息點(diǎn)數(shù)量不等的需求。 . 接入層設(shè)計(jì) 接入層交換機(jī)基于用戶信息點(diǎn)的分 布情況，采用全千兆和百兆兩種類型的設(shè)備。 特色五： 集成的無(wú)線控制模塊提供豐富的業(yè)務(wù)能力，包括精細(xì)的用戶控制管理、完善的 RF 管理及安全機(jī)制、快速漫游和超強(qiáng)的 QOS支持等；無(wú)線控制模塊通過(guò)與 H3C安全策略服務(wù)器的聯(lián)動(dòng)，實(shí)現(xiàn)對(duì)無(wú)線接入用戶的端點(diǎn)準(zhǔn)入防御（ EAD），提高了整網(wǎng)的安全性。 特色二： 基于 ASIC 的高性能業(yè)務(wù)， IPv4/IPv6 業(yè)務(wù)線速處理； H3C S9500 系列提供業(yè)界領(lǐng)先的交換能力，其最高的 路由交換引擎可以實(shí)現(xiàn) 576 個(gè)千兆或 48 個(gè)萬(wàn)兆端口的線速轉(zhuǎn)發(fā)，三層包轉(zhuǎn)發(fā)能力高達(dá) 857Mpps。 H3C S9500 系列萬(wàn)兆路由交換機(jī)是 H3C公司推出的旗艦核心路由交換機(jī)，該產(chǎn)品基于 H3C公司自適應(yīng)安全網(wǎng)絡(luò)的技術(shù)理念，在提供大容量、高性能 L2/L3 交換服務(wù)基礎(chǔ)上，進(jìn)一步融合了硬件IPv網(wǎng)絡(luò)安全、網(wǎng)絡(luò)業(yè)務(wù)分析、無(wú)線等智能特性，可作為構(gòu)建融合業(yè)務(wù)。兩臺(tái) S9508構(gòu)成雙機(jī)冗余熱備結(jié)構(gòu)，達(dá)到無(wú)單點(diǎn)故障的目的。滿足這個(gè)發(fā)展，首要前提就是讓網(wǎng)絡(luò)平臺(tái)能夠具備相關(guān)技術(shù)支撐能力，不論是對(duì)園區(qū)網(wǎng)的優(yōu)化還是對(duì)企業(yè)網(wǎng)業(yè)務(wù)的橫向拓展 ，都是基于網(wǎng)絡(luò)本身是安全有序的，需要從縱向三個(gè)維度對(duì)所有影響網(wǎng)絡(luò)安全的隱患、非法行為進(jìn)行滲透防御與控制。數(shù)字園區(qū)的發(fā)展必然離不開(kāi)兩個(gè)方向，其一是安全性，其二是移動(dòng)性。 H3C 設(shè)計(jì)全新的基于純 IP 技術(shù)的網(wǎng)絡(luò)平臺(tái)來(lái)滿足衡鋼網(wǎng)絡(luò)升級(jí)改造項(xiàng)目的需求變化。 . 網(wǎng)絡(luò)總體規(guī)劃 本項(xiàng)目將根據(jù)標(biāo)準(zhǔn)的網(wǎng)絡(luò)分層分區(qū)建設(shè)方法，將網(wǎng)絡(luò)的可靠性、安全性、先進(jìn)性、易維護(hù)性、可擴(kuò)展性發(fā)揮到最好，從而最終實(shí)現(xiàn)建設(shè)完善和先進(jìn)的數(shù)據(jù)中心的目的。同時(shí)符合國(guó)家關(guān)于網(wǎng)絡(luò)安全標(biāo)準(zhǔn)和管理?xiàng)l例。 6）支持多媒體：支持文本、語(yǔ)音、圖形、圖像及音頻、視頻等多種媒體信息的傳輸、查詢服務(wù)，具有多種基于優(yōu)先級(jí)隊(duì)列的 QoS保證，多媒體應(yīng)用對(duì)服務(wù)質(zhì)量有很高的要求，如帶寬，延遲，延遲的變化等，需要網(wǎng)絡(luò)對(duì)服務(wù)質(zhì)量 (QoS)有很好的支持。要留有擴(kuò)充余量，包括端口數(shù)量和帶寬的升級(jí)能力。 4）可擴(kuò)充性：所有網(wǎng)絡(luò)設(shè)備不但滿足當(dāng)前需要，并在擴(kuò)