【WALL1600下一代防火墙】下一代防火墙防arp攻击简介

发布时间：2013-09-12

点击量：1368

应用场景：

IP+MAC绑定：

客户网络为二层环境，即内网电脑的网关都在NGFW上，客户希望内网电脑只能使用固定的IP地址上网，方便管理，或网络中经常出现ARP欺骗，甚至是ARP攻击，从而引起内网经常有部分电脑无法上网，或上网断断续续，此时可在NGFW上开启通过IP+MAC绑定，即将电脑正确的IP地址和MAC地址静态绑定在NGFW里，从而实现内网电脑需要配置正确的IP地址才能上网，若随意修改IP，则无法上网，若发出arp欺骗报文，也不会影响NGFW的ARP表项，避免了由于内网欺骗NGFW导致的断网。

关闭ARP学习功能：

客户网络同样为二层环境，想实现内网电脑只能使用固定的IP地址上网，修改IP后不能上网，同时外来的电脑不允许上网，让网络更安全，管理更方便，此时可通过先开启IP+MAC绑定，再开启关闭ARP学习功能实现，务必注意一定要先把合法电脑的IP+MAC绑定完再开启此功能。

主动保护：

有时候由于客户业务需要，运营商经常会分配多个可用地址给外网映射服务器用但是这些地址可能没有在外网接口配置，当运营商那边没有更新对应这个地址的arp信息，将导致对端过来的流量无法到达设备上，就算映射配置正确但是外网还是无法访问内部服务器，解决办法是：

NGFW触发接口发免费arp的设置

1、主动保护列表中，开启对应需要发免费arp的接口，一般是外网口

2、在防ARP攻击力的配置页面，启用主动保护，设置时间间隔

启用主动保护发包功能，每隔一定时间间隔发送一次主动保护列表上的免费ARP报文。主动发包时间间隔为发送主动保护列表上的ARP的时间间隔，缺省配置为1秒。

配置主动保护列表，在开启配置中的主动保护后，将自动广播列表中的免费ARP报文。

备注：只有选择启用ARP防欺骗攻击后才能配臵主动保护和ARP学习功能；只有选择启用主动保护才能配置主动发包时间间隔；

功能原理：

在局域网中，通信前必须通过ARP协议将IP地址转换为MAC地址。ARP协议对网络安全具有重要的意义，但是当初ARP方式的设计没有考虑到过多的安全问题，留下很多隐患，使得ARP攻击成为当前网络环境中遇到的一个非常典型的安全威胁。

通过伪造IP地址和MAC地址实现ARP欺骗，能够在网络中产生大量的ARP通信量，使网络阻塞，攻击者只要持续不断的发出伪造的ARP响应包就能更改目标主机ARP缓存，造成网络中断或中间人攻击。受到ARP攻击后会出现无法正常上网、ARP包爆增、不正常或错误的MAC地址、一个MAC地址对应多个IP、IP冲突等情况。ARP攻击因为技术门槛低，易于实现，在现今的网络中频频出现，有效防范ARP攻击已成为确保网络畅通的必要条件。

您可能还关注的问题