当前位置:主页 > 路由器设置 > H3C华三路由器 >

H3C路由器ARP攻击防御解决方案

作者:jida2010 发布时间:2014-10-08 阅读: 转至微博:

分析ARP攻击的特点,结合市场实际需求,H3C公司推出了全面有效的ARP攻击防御解决方案。
“全面防御,模块定制” H3C ARP攻击防御解决方案
H3C ARP攻击防御解决方案通过对客户端、接入交换机和网关三个控制点实施自上而下的“全面防御”,并且能够根据不同的网络环境和客户需求进行“模块定制”,为用户提供多样、灵活的ARP攻击防御解决方案。
H3C提供两类ARP攻击防御解决方案:监控方式,认证方式。监控方式主要适用于动态接入用户居多的网络环境,认证方式主要适用于认证方式接入的网络环境;实际部署时,建议分析网络的实际场景,选择合适的攻击防御解决方案。另外,结合H3C独有的iMC智能管理中心,可以非常方便、直观的配置网关绑定信息,查看网络用户和设备的安全状况,不仅有效的保障了网络的整体安全,更能快速发现网络中不安全的主机和ARP攻击源,并迅速做出反映。

2  解决方案亮点

u       更灵活。提供监控模式和认证模式两大类方案,组网方式多样、灵活。
u       更彻底。多种方式组合能够全面防御新建网络ARP攻击,切实保障网络稳定和安全。
u       保护投资。对接入交换机的依赖较小,可以较好的支持现有网络的利旧,兼容大部分现有网络场景,有效保护投资。
u       适用性强。解决方案适应动态和静态两种地址分配方式,通过终端、接入交换机、网关多种模块的组合,适用于各种复杂的组网环境。
H3C ARP攻击防御解决方案的推出,为教育、金融、政府、企业等客户网络彻底解决了ARP欺骗攻击的问题,其“全面防御 模块定制”的理念,能够满足新旧网络的不同需要,让ARP欺骗攻击从此不再困扰!

3  典型应用

3.1  监控方式

接入交换机通过监控用户的正常动态IP地址获取过程,获取正常用户的IP-MAC对应关系在接入交换机上绑定。接入交换机过滤掉所有不匹配绑定关系的ARP报文,来防止接入的用户主机进行ARP欺骗攻击。这种防攻击手段能够有效防御各种ARP攻击。对于某些采用静态IP地址设置,如打印机、服务器的特殊客户端,可以采取在接入交换机上手工添加表项的方式进行合法IP-MAC的绑定。
业务流程如下图:

图1 监控模式示意图
 

3.2  认证方式

如下图所示,通过增强用户的认证机制来获取上线用户的IP-MAC对应关系,并且利用认证的手段来确认当前用户的合法性。从而有效的解决难以获取合法用户的IP-MAC对应关系的问题。同时通过事先在认证服务器上配置网关的IP-MAC对应关系的方式来集中管理网络中存在的网关的IP-MAC信息。当合法用户上线时,可以利用上述的两个关键信息对网络中存在的虚假ARP报文以过滤或者绑定合法的ARP信息,从而有效的防御ARP欺骗行为。H3C的防御手段充分的考虑了方案实施的适应性要求,对虚假ARP报文加以过滤或者绑定合法ARP信息的功能可以根据网络的条件分开使用。具体模式如下图所示:

图2 认证模式示意图

本文由路由器网www.luyouqiwang.net站长编辑整理,转载请注明出处。