公告 更多

　　一、 中小企业局域网安全的关注点：

　　1、 ARP的危害：当计算机连接正常，却无法打开网页;或者计算机网络出现频繁断线，同时网速变得非常慢，这些都可能是网络中存在ARP欺骗攻击所表现出来的网络现象。ARP欺骗攻击不仅会造成联网不稳定，引发用户无法上网，或者企业断网导致重大生产事故，而且利用ARP欺骗攻击可进一步实施中间人攻击，以此非法获取到游戏、网银、文件服务等系统的帐号和口令，对被攻击者造成利益上的重大损失。因此ARP欺骗攻击是一种非常恶劣的网络攻击行为。ARP攻击已经对各行各业网络造成了巨大威胁。

　　2.、H3C中小企业安全局域网解决方案

第1阶段：接入前的身份识别和授权：通过交换机或路由器产品实现嵌入式用 户管理，实现网络用户身份识别并受限访问网络资源;

　　第2阶段：接入中自动ARP攻击防御：接入交换机通过监控用户的正常动态IP地址获取过程，获取正常用户IP-MAC对应关系在接入交换机上绑定。接入交换机过滤掉所有不匹配绑定关系的ARP报文，来防止接入的用户主机进行ARP欺骗攻击。

　　通过增强用户的认证机制来获取上线用户的IP-MAC对应关系，并且利用认证的手段来确认当前用户的合法性。从而有效的解决难以获取合法用户的IP-MAC对应关系的问题。同时通过事先在认证服务器上配置网关的IP-MAC对应关系的方式来集中管理网络中存在的网关的IP-MAC信息。当合法用户上线时，可以利用上述的两个关键信息对网络中存在的虚假ARP报文以过滤或者绑定合法的ARP信息，从而有效的防御ARP欺骗行为。H3C的防御手段充分的考虑了方案实施的适应性要求，对虚假ARP报文加以过滤或者绑定合法ARP信息的功能可以根据网络的条件分开使用。接入交换机通过监控用户的正常动态IP地址获取过程，获取正常用户的IP-MAC对应关系在接入交换机上绑定。接入交换机过滤掉所有不匹配绑定关系的ARP报文，来防止接入的用户主机进行ARP欺骗攻击。这种防攻击手段能够有效防御各种ARP攻击。

　　3、 H3C具有防ARP功能的交换机推荐：

　　A: H3C S5500-SI系列千兆三层交换机：

　　B: H3C S3100TP-SI(UM)系列千兆上行以太网交换机