设为首页 | 关于易和 | 网站地图
中文 | English
首 页 | 易和服务 | 解决方案 | 成功案例 | 产品中心 | 技术支持 | 招聘贤才 | 联系我们
解决方案
政府行业
教育行业
电信行业
制造行业
医疗行业
酒店行业
首页 > 教育行业
H3C ARP攻击防御解决方案

1 前言

      ARP欺骗攻击不仅会造成联网不稳定,引发用户无法上网,或者企业断网导致重大生产事故,而且利用ARP欺骗攻击可进一步实施中间人攻击,以此非法获取到游戏、网银、文件服务等系统的帐号和口令,对被攻击者造成利益上的重大损失。因此ARP欺骗攻击是一种非常恶劣的网络攻击行为。
      ARP攻击已经对各行各业网络造成了巨大威胁,但一直没有得到有效的解决。连我们熟知的杀毒软件、防火墙都挡不住ARP 欺骗攻击。主要由于ARP欺骗攻击的木马程序,通常会伪装成常用软件的一部分被下载并被激活,或者作为网页的一部分自动传送到浏览者的电脑上并被激活,或者通过U盘、移动硬盘等方式进入网络。由于木马程序的形态特征都在不断变化和升级,杀毒软件常常会失去作用。
 
2  方案概述
      分析ARP攻击的特点,结合市场实际需求,H3C公司推出了全面有效的ARP攻击防御解决方案。
     “全面防御,模块定制” H3C ARP攻击防御解决方案
      H3C ARP攻击防御解决方案通过对客户端、接入交换机和网关三个控制点实施自上而下的“全面防御”,并且能够根据不同的网络环境和客户需求进行“模块定制”,为用户提供多样、灵活的ARP攻击防御解决方案。
      H3C提供两类ARP攻击防御解决方案:监控方式,认证方式。监控方式主要适用于动态接入用户居多的网络环境,认证方式主要适用于认证方式接入的网络环境;实际部署时,建议分析网络的实际场景,选择合适的攻击防御解决方案。另外,结合H3C独有的iMC智能管理中心,可以非常方便、直观的配置网关绑定信息,查看网络用户和设备的安全状况,不仅有效的保障了网络的整体安全,更能快速发现网络中不安全的主机和ARP攻击源,并迅速做出反映。
 
3  功能特点
      ★   更灵活。提供监控模式和认证模式两大类方案,认证方案支持IEEE 802.1X和Portal两种认证模式,组网方式多样、灵活。
      ★   更彻底。多种方式组合能够全面防御新建网络ARP攻击,切实保障网络稳定和安全。
      ★   保护投资。对接入交换机的依赖较小,可以较好的支持现有网络的利旧,兼容大部分现有网络场景,有效保护投资。
      ★   适用性强。解决方案适应动态和静态两种地址分配方式,通过终端、接入交换机、网关多种模块的组合,适用于各种复杂的组网环境。
      H3C ARP攻击防御解决方案的推出,为教育、金融、政府、企业等客户网络彻底解决了ARP欺骗攻击的问题,其“全面防御 模块定制”的理念,能够满足新旧网络的不同需要,让ARP欺骗攻击从此不再困扰!
 
4  典型应用
      一、监控方式
      监控方式也即DHCP Snooping方式,适合大部分主机为动态分配IP地址的网络场景。实现原理:接入层交换机监控用户动态申请IP地址的全过程,记录用户的IP、MAC和端口信息,并且在接入交换机上做多元素绑定,从而在根本上阻断非法ARP报文的传播。
      另外,ARP泛洪攻击会产生大量的ARP报文,消耗网络带宽资源和交换机CPU资源,造成网络速度急剧降低。因此可以在接入交换机部署ARP报文限速,对每个端口单位时间内接收到的ARP报文数量进行限制,避免ARP泛洪攻击,保护网络资源。
 
      二、认证方式
      认证方式适合网络中采用认证登陆的场景,通过H3C CAMS服务器、H3C iNode智能客户端与接入交换机和网关的联动,全方面的防御ARP攻击。
      实现原理:认证方式是客户端通过认证协议登陆网络,认证服务器识别客户端,并且将事先配置好的网关IP/MAC绑定信息下发给客户端,实现了ARP报文在客户端、接入交换机和网关的绑定,使得虚假的ARP报文在网络里无立足之地,从根本上防止ARP病毒泛滥。
      H3C认证方式包括IEEE802.1X和Portal两种方案,充分考虑了新建和利旧网络的不同网络场景,方案全面有效。
      1)IEEE802.1X方案
      IEEE802.1X方案通过客户端发起认证,H3C CAMS把事先配置好的网关的IP和MAC绑定信息下发给客户端做绑定,防止客户端遭遇网关仿冒类型的攻击;
      客户端发起认证的报文需要经过接入交换机,接入交换机记录客户端的IP和MAC信息并且做绑定,可以防止网关仿冒、网关欺骗、欺骗终端用户和ARP泛洪攻击;
      客户端、接入交换机和网关绑定可以选择实现,方案可裁剪。
图示 PC生成网关绑定表项
      2)Portal方案是通过客户端发起portal认证,CAMS把事先配置好的网关IP和MAC绑定信息下发给客户端做绑定,网关记录用户的IP和MAC做绑定,防止网关欺骗。
地址:广州市天河区五山路248号金山大厦北塔312室  广州市天河路490号壬丰大厦3510室
电话:020-38889987 38889812  传真:020-38889856
广州市易和信息技术有限公司 © 2011版权所有    
粤ICP备10059817号-1 备案编号:4401060100863