些年来，众多客户随着网络系统规模的扩大，各种应用系统不断完善，对各类应用数据的安全提出了新的要求。面对来自外部与内部的各种安全威胁，网络系统需要按照纵深防御的思想，逐步构建成完整的信息安全体系。

用户单位网络安全现状

很多用户单位通过几年的信息化建设已具备了一些安全防护能力，例如：通过部署防火墙加强了基本边界保护能力;通过部署入侵检测系统加强了对网络安全环境的基本监测能力;通过部署网络防病毒系统加强了对网络计算环境的基本保护能力。

但目前用户的内网安全管理系统仍然处于起步阶段，任何计算机都可随意接入局域网，访问信息资源，在信息网络接入控制方面基本处于失控状态，存在着极大的安全风险，主要安全威胁包括：

(1) 终端面临的安全威胁复杂，如：病毒、木马、蠕虫、未授权访问、信息泄露、间谍软件、操作系统漏洞、系统资源误用、系统资源滥用等。

(2) 网络系统的接入点没有任何控制措施，未经授权的客户端可随意接入到网络系统中;

(3) 每个客户端在系统中的权限不清晰，可以进行超出权限范围的访问、浏览;

(4) 网络中没有统一的设备接入授权技术平台，无法约定客户端在网络中的操作范围，无法阻止违规的接入设备。

(5) 少数部门虽已部署内网安全系统，但目前的终端安全产品功能相对单一，且各自为政，无法智能有效地解决复杂安全问题，导致终端层面安全孤岛的形成。

针对以上用户遇到的诸多内网安全问题，神州数码凭借强大的研发实力和对内网安全领域的多年研究推出了内网安全综合解决方案。下面我们分为两部分来具体介绍：(一)、网络终端综合安全管理系统;(二)ARP攻击全网综合防御系统。

一、网络终端综合安全管理系统

结合客户实际需求，和神州数码在网络安全领域多年的研究经验，我们为用户提出如下网络终端综合安全管理解决方案：

本方案主要由三大系统构成：用户接入认证系统、内网终端安全管理系统和用户上网行为日志系统。

(1)、用户接入认证系统：由接入交换机、DCBI用户安全接入管理系统及DCBA用户接入管理器组成的用户接入认证系统。该系统采用标准Radius协议和神州数码为园区网安全运营特点所扩展的增强型协议，来实现对标准/增强型的802.1x、无线接入、PPPoE、Web认证等的认证授权和计费等功能，可灵活实现用户安全接入管理和丰富的认证计费功能。

(2)、内网终端安全管理系统：神州数码作为有着雄厚研发实力的资深网络产品提供商，从2000年开始便组建专门的团队进行着终端安全管理技术的探索与研究，并于2006年就已向用户提供专业的终端安全管理产品——神州数码内网安全管理系统(DigitalChina Security Management)，简称DCSM。神州数码DCSM系统不仅为用户提供强大的统一准入认证机制和身份管理功能，还能够全面实现对接入用户的安全授权和行为审计。

(3)、用户上网行为日志系统：随着信息技术和互联网的深入发展，互联网日益成为人们工作、学习和生活的一部分。在享受互联网带来的巨大便利的时候，由其带来的负面影响和安全威胁也日趋严重。工作效率降低、带宽滥用、下载传播非法、黄色信息、机密信息泄露等问题日益突出，并由此产生法律、名誉、经济等各方面问题。特别是《互联网安全保护技术措施规定》(公安部第82号令)明确要求提供互联网接入服务的单位必须保留用户上网日志60天以上。这对于互联网管理，上网行为规范，提高网络利用率等方面提出了迫切的需要。

神州数码网络依托多年的研发经验，及时推出了NetLog上网行为日志系统。作为完全拥有自主知识产权的网络行为分析管理系统，集成先进的软硬件体系构架，配以先进的行为分析引擎、灵活多样的管理控制策略，实时分析网络活动，并生成丰富的统计报表。能够满足用户单位各种Internet互联网使用单位的网络行为监控需求。

在部署以上三大系统后，用户的具体使用效果如下：

终端用户连接到接入交换机时，首先通过DCBI进行接入认证，只有授权用户才能接入到用户网络系统中;认证通过后DCSM对其进行安全检测及相应的安全授权和策略下发，只有在确认终端安全后才授予其相应的网络访问权限，并实时对其进行监控以保障终端上网过程中的安全;当已接入用户有访问外部网络的需求时用户接入认证系统再对其进行权限检察，杜绝非授权用户对外部网络的访问，同时NetLog上网行为日志系统记录其上网行为，以便对用户进行审计。

上述三大系统的综合应用实现了从用户接入、安全策略分配、上网行为审计的全方位安全管理，为终端设备联入内网提供了强力安全保障。

二、ARP攻击全网综合防御系统

近年来，基于病毒的ARP攻击愈演愈烈，大多数网络用户都有遭遇过，尤其是对于单位管理人员和网络管理员对这类病毒攻击更是恨之入骨、苦不堪言。

为了能更好的对付ARP攻击，我们先简单了解一下它。

常见ARP攻击典型的症状有：

Ø 上网的时候经常会弹出一些广告，有弹出窗口形式的，也有嵌入网页形式的。下载的软件不是原本要下载的，而是其它非法程序。

Ø 网关设备ARP表项存在大量虚假信息，上网时断时续;网页打开速度让使用者无法接受。

Ø 终端不断弹出“本机的XXX段硬件地址与网络中的XXX段地址冲突”的对话框。

对于ARP攻击，可以简单分为两类：

1、ARP欺骗攻击，又分为ARP仿冒网关攻击和ARP仿冒主机攻击。

2、ARP泛洪(Flood)攻击，也可以称为ARP扫描攻击。

对于这两类攻击，攻击程序都是通过构造非法的ARP报文，修改报文中的源IP地址与(或)源MAC地址，不同之处在于前者用自己的MAC地址进行欺骗，后者则大量发送虚假的ARP报文，拥塞网络。

针对传播广泛、日益泛滥的ARP攻击问题，神州数码网络秉承“IT服务 随需而动”的理念，凭借深厚技术实力，推出业内最全、适用面最广、最彻底的防治ARP攻击整体解决方案。

神州数码网络公司从客户端程序、接入交换机、汇聚交换机，一直到网关设备，都研发了ARP攻击防护功能，客户可以根据自己网络的特点，灵活选取相关的网络设备和方案进行实施。

1、接入交换机篇

接入交换机是最接近用户侧的网络设备，也最适于通过它进行相关网络攻击防护。通过对接入交换机的适当设置，我们可以将很多网络威胁隔离在交换机的每端口内，而不至于对整网产生危害。

(1)、AM功能

AM(access management)又名访问管理，它利用收到数据报文的信息(源IP 地址

或者源IP+源MAC)与配置硬件地址池(AM pool)相比较，如果找到则转发，否则丢弃。

AM pool 是一个地址列表，每一个地址表项对应于一个用户。每一个地址表项包括了地址信息及其对应的端口。地址信息可以有两种：

Ø IP 地址(ip-pool)，指定该端口上用户的源IP 地址信息。

Ø MAC-IP 地址(mac-ip pool)，指定该端口上用户的源MAC 地址和源IP 地址信息。

当AM使能的时候，AM模块会拒绝所有的IP报文通过(只允许IP地址池内的成员源地址通过)。

我们可以在交换机端口创建一个MAC+IP 地址绑定，放到地址池中。当端口下联主机发送的IP报文(包含ARP报文)中，所含的源IP+源MAC不符合地址池中的绑定关系，此报文就将被丢弃。

功能特点：

配置简单，除了可以防御ARP攻击，还可以防御IP扫描等攻击。适用于信息点不多、规模不大的静态地址环境下。

(2)、ARP Guard功能

基本原理就是利用交换机的过滤表项，检测从端口输入的所有ARP报文，如果ARP报文的源IP地址是受到保护的IP地址(网关或服务器)，就直接丢弃报文，不再转发，从而避免非法PC冒充网关或服务器进行ARP欺骗。

功能特点：

配置简单、快速部署，适用于ARP仿冒网关攻击防护。

(3)、DHCP Snooping功能

实现原理：接入层交换机监控用户动态申请IP地址的全过程，记录用户的IP、MAC和端口信息，并且在接入交换机上做多元素绑定，从而在根本上阻断非法ARP报文的传播。

功能特点：

被动侦听，自动绑定，对信息点数量没有要求，适用于IP地址动态分配环境下广泛实施。

(4)、端口ARP限速功能

神州数码系列交换机防ARP 扫描的整体思路是若发现网段内存在具有ARP 扫描特征的主机或端口，将切断攻击源头，保障网络的安全。

有两种方式来防ARP 扫描：基于端口和基于IP。基于端口的ARP 扫描会计算一段时间内从某个端口接收到的ARP 报文的数量，若超过了预先设定的阈值，则会down掉此端口。基于IP 的ARP 扫描则计算一段时间内从网段内某IP收到的ARP报文的数量，若超过了预先设置的阈值，则禁止来自此IP 的任何流量，而不是down 与此IP相连的端口。此两种防ARP 扫描功能可以同时启用。端口或IP被禁掉后，可以通过自动恢复功能自动恢复其状态。

功能特点：

全局使能，无须在端口模式下配置，配置简单。适用于对ARP扫描或者flood攻击防御，建议和交换机其它功能一起使用。

2、汇聚交换机篇

很多用户的网络经过多次升级、扩充，部署的接入交换机的品牌多、型号多。而其中不可网管、不支持ACL的交换机数量也不在少数。所以在保护用户现有投资、不升级接入交换机的前提下，全网防御ARP病毒攻击，成为了神州数码网络的关注点。下面我们介绍一种通过神州数码汇聚交换机实现全网防御ARP攻击的解决方案。

(1)、端口隔离功能介绍

端口隔离是一个基于端口的独立功能，作用于端口和端口之间，隔离相互之间的流量，常用的方式是用户端口间相互隔离，每个用户端口仅能和上联端口通信。利用端口隔离的特性，可以实现VLAN内部的端口隔离，从而节省VLAN资源，增加网络的安全性，现在大多数接入交换机都具备此功能。

(2)、Local ARP Proxy功能介绍

Local ARP proxy：本地ARP代理功能。是指在一个VLAN内，通过使用一台三层交换机(一般为汇聚交换机)，来作为指定的设备对另一设备作出ARP请求的应答，实现限制ARP报文在同一VLAN内的转发，从而引导数据流量通过交换机进行三层转发。

该功能通常需要和其他的安全功能配合使用，例如在汇聚交换机上配置local arp proxy，而在下连的二层交换机上配置端口隔离功能，这样将会引导所有的IP流量通过汇聚交换机上进行三层转发，二层交换机下联主机不能相互ARP欺骗。

(3)、防御ARP攻击原理

如下图所示，端口Eth0/0/2和Eth0/0/3在Vlan100内，接入交换机开启端口隔离功能，主机A和主机B二层流量不可达。网关地址为192.168.1.1，汇聚交换机启用Local ARP proxy功能。

1. 接入交换机启用端口隔离功能;汇聚交换机启用ARP Local Proxy功能和端口ARP限速功能;

2. 动态IP环境中，汇聚交换机通过DHCP Snooping检测ARP;静态IP环境中，可以使用神州数码专有的DHCP Snooping绑定工具，对汇聚交换机ARP表项进行初始化(静态地址环境下，还需要结合关闭交换机arp自动更新或者自动学习，可参见神州数码交换机手册);

3. 由于主机A没有主机B的MAC地址，因此主机A发送ARP Request并广播出去;

4. 在启动ARP Local Proxy的情况下，交换机向主机A发送ARP Reply报文(填充自己的MAC地址);

5. 主机A收到该ARP Reply之后，创建ARP表项，发送IP报文，封装的以太网帧头的目的MAC为交换机的MAC;

6. 当交换机收到该IP报文之后，交换机查询路由表(创建路由缓存)，并下发硬件表项;

7. 当交换机有主机B的ARP表项情况下，直接封装以太网头部并发送报文(目的MAC为主机B);如果交换机没有主机B的ARP表项，那么会请求主机B的ARP，然后发送IP报文。

(4)、方案说明

对接入交换机要求低，只需要支持端口隔离功能即可;而且动态IP地址环境下配置简单，易于管理、实现。

3、802.1X认证篇

1、主机IP地址静态配置时，终端发给802.1x认证，DCBI验证通过后，将该用户的IP、MAC等绑定信息自动下发给接入交换机。

2、动态分配IP地址时，接入交换机启用DHCP Snooping侦听主机分配到的IP地址，并将此IP地址，以及对应的MAC地址、交换机端口发送给DCBI。

方案特点：静态、动态IP地址混杂模式下，可以完美解决内网ARP攻击问题，并且人工配置量小，适用于信息点众多的大型办公网络。

4、防火墙篇

神州数码终结者系列防火墙免费附带了ARP防护功能，选用它作为出口设备可抵御网关ARP欺骗。

具体实现效果如下：

神州数码终结者防火墙开启ARP防护功能后，内网用户第一次经过防火墙访问外网时，防火墙将向内网用户推送一个ARP客户端软件DCSD(DigitalChina Security Defender)，如下图。

在安装了DCSD后，内网PC与防火墙之间的ARP报文将采用加密方式传输，所有伪造网关IP的ARP欺骗报文将被DCSD拒之门外，所以可以有效的解决网关ARP欺骗问题。

功能特点：特别适用于中小型网络，直接使用防火墙作为安全网关，配置简单，易于部署，免维护。