校園網(wǎng)環(huán)境中ARP防火墻技術(shù)的應(yīng)用

石 峰

(包頭財經(jīng)信息職業(yè)學(xué)校,內(nèi)蒙古 包頭 014060)

0 引言

ARP病毒的出現(xiàn)為國民的網(wǎng)絡(luò)生活帶來不利,甚至對使用者的隱私造成威脅,所以ARP病毒的防范和ARP防火墻技術(shù)的使用顯得尤為重要。

1 ARP防火墻技術(shù)概述

1.1 ARP攻擊方式

1.1.1 ARP泛洪攻擊

ARP泛洪攻擊主機將持續(xù)性地把偽造的MAC-IP映射發(fā)送給受害主機并對局域網(wǎng)內(nèi)的所有終端進行廣播,感染正常通信。ARP泛洪攻擊有以下3點特征:第一是通過偽造ARP廣播數(shù)據(jù)使終端不停地處理廣播數(shù)據(jù),從而消耗網(wǎng)絡(luò)帶寬；第二是ARP泛洪攻擊將局域網(wǎng)內(nèi)部的主機或者網(wǎng)關(guān)無法及時找到通信對象,導(dǎo)致通信異常或者通信阻斷；第三是用虛擬的IP地址信息搶占ARP高速緩存空間,造成終端無法創(chuàng)建緩存表,無法進行通信。

1.1.2 ARP溢出攻擊

ARP溢出攻擊的特征主要分為兩種:第一是數(shù)據(jù)包中的源IP地址是非本地網(wǎng)絡(luò)中的虛擬IP地址,但是其MAC地址是固定的,當操作系統(tǒng)收到源IP地址在ARP高速緩存表中的數(shù)據(jù)包時,就會在緩存表中建立對應(yīng)的入口項；第二是數(shù)據(jù)包中的源IP地址是非本地網(wǎng)絡(luò)中虛擬的IP地址,但是其MAC地址是變化的,發(fā)送這種攻擊數(shù)據(jù)包時會引起CAM表溢出。

1.1.3 ARP掃描攻擊

ARP掃描攻擊是向局域網(wǎng)中的所有使用終端發(fā)送ARP請求,從而獲取終端的IP和MAC地址映射對。ARP掃描是為發(fā)送ARP掃描攻擊而做準備,從而達到網(wǎng)絡(luò)監(jiān)聽、盜取數(shù)據(jù)等隱蔽式攻擊的目的。

1.1.4 虛擬主機攻擊

虛擬主機攻擊是攻擊者將自身虛擬成局域網(wǎng)絡(luò)中的一臺主機,擁有虛擬的IP地址和物理地址,通過鏈路層捕獲的ARP請求數(shù)據(jù)包對其進行分析,對于虛擬IP地址的ARP請求則會發(fā)送對應(yīng)的ARP響應(yīng)和ARP通告。虛擬主機攻擊會占用局域網(wǎng)絡(luò)中的IP地址,使之與正常運行的主機IP地址發(fā)生沖突,并且新加入局域網(wǎng)的主機也無法正常獲取IP地址,影響主機正常運行。

1.2 ARP防火墻技術(shù)

ARP防火墻可在局域網(wǎng)內(nèi)攔截虛擬的ARP數(shù)據(jù)包以及主動通告網(wǎng)關(guān)本機正確的MAC地址,以確保不經(jīng)過第三者達到保障數(shù)據(jù)正確流向的目的。ARP防火墻技術(shù)是保證局域網(wǎng)內(nèi)數(shù)據(jù)安全、網(wǎng)絡(luò)暢通、數(shù)據(jù)不受第三方控制的防火墻技術(shù)。

2 校園網(wǎng)網(wǎng)絡(luò)安全影響因素分析

2.1 規(guī)模龐大,終端不統(tǒng)一

校園網(wǎng)中的用戶不僅數(shù)量較多,并且使用頻次密集,再加上校園網(wǎng)與外界網(wǎng)絡(luò)有著密切聯(lián)系,所以用戶攜帶的電腦若已經(jīng)被外界網(wǎng)絡(luò)病毒攻擊,那么終端接入校園網(wǎng)之后,校園網(wǎng)也極易受到病毒的侵害,影響校園網(wǎng)的安全運行。

2.2 用戶群體使用活躍

校園網(wǎng)中的使用群體主要是學(xué)生和老師,其中學(xué)生作為最活躍的使用群體,為校園網(wǎng)的安全帶來一定影響,同時由于無法確定下載的資源是否安全,導(dǎo)致資源中隱藏的木馬等病毒侵入校園網(wǎng)絡(luò)。

3 防火墻技術(shù)在校園網(wǎng)環(huán)境中的應(yīng)用

3.1 部署防火墻

部署防火墻主要是將防火墻技術(shù)置于保護網(wǎng)絡(luò)資源的前方,讓防火墻技術(shù)能夠發(fā)揮抵御病毒、防止病毒侵害的作用,為使用者提供網(wǎng)絡(luò)實時監(jiān)控和管理[1]。

3.2 選擇工作模式

防火墻技術(shù)中的工作模式分為路由模式、透明模式和混合模式。若其他設(shè)備已經(jīng)完成配置,使用者通過防火墻-路由器訪問互聯(lián)網(wǎng),防火墻需要設(shè)置相應(yīng)的NAT規(guī)則,將防火墻模式改為路由模式；若設(shè)備配置完成,使用者通過路由器-防火墻-路由器訪問互聯(lián)網(wǎng),那么防火墻則設(shè)置為透明模式,并且其安全規(guī)則改為包過濾規(guī)則[2]。用戶應(yīng)該根據(jù)校園網(wǎng)的實際情況、結(jié)構(gòu)、使用需求選擇合適的模式進行連接。

3.3 訪問控制策略

首先設(shè)置DMZ。DMZ是解決安裝防火墻之后用戶無法訪問內(nèi)部網(wǎng)絡(luò)服務(wù)器的問題而設(shè)立的緩沖區(qū)域,使校園網(wǎng)絡(luò)之外的用戶在外網(wǎng)情況下也能訪問內(nèi)網(wǎng)資源；配置NAT是通過一對一或一對多的形式將內(nèi)網(wǎng)地址與外網(wǎng)地址進行轉(zhuǎn)換,不僅能夠解決外網(wǎng)地址不足的問題,也能夠隱藏真實IP地址,為網(wǎng)絡(luò)訪問起到安全防護作用；攻擊檢測與防護能夠抵擋外網(wǎng)漏洞掃描、木馬攻擊、惡意代碼植入等攻擊,以分析、識別、統(tǒng)計、流量異常監(jiān)視等手段判斷是否具有入侵行為,及時發(fā)現(xiàn)并及時阻止入侵行為；網(wǎng)絡(luò)訪問控制是使用終端進行端口過濾、過濾審計、URL攔截和Ddos攻擊等,長時間結(jié)合時間對象、區(qū)域?qū)ο?、服?wù)對象等進行全方位的掌控和監(jiān)護；應(yīng)用層控制是針對網(wǎng)絡(luò)、郵件或其他應(yīng)用對應(yīng)用內(nèi)容進行分析,篩除垃圾郵件,并針對具體應(yīng)用和識別控制采取病毒防護和入侵防護措施；病毒防護是通過防火墻技術(shù)的相應(yīng)配置,依托病毒特征建立病毒特征庫,達到隔離病毒、預(yù)防病毒入侵的目的；安全報警是當設(shè)備本身出現(xiàn)故障或者安全事故時發(fā)出警報,以便于管理員及時處理；身份認證預(yù)授權(quán)是將防火墻技術(shù)作為認證服務(wù)器,為用戶提供認證服務(wù)并與第三方認證服務(wù)器通力協(xié)作,完成動態(tài)口令、證書等用戶認證功能,結(jié)合其他訪問控制策略,達到對使用終端的網(wǎng)絡(luò)行為實時管控的目的；流量控制是在網(wǎng)絡(luò)資源受限的情況下,各類應(yīng)用搶占網(wǎng)絡(luò)帶寬時通過技術(shù)手段保證網(wǎng)絡(luò)的服務(wù)質(zhì)量,針對校園網(wǎng)應(yīng)用情況可以采用部署QOS策略。

4 校園網(wǎng)環(huán)境中ARP防火墻技術(shù)的配置

4.1 利用命令行方式檢測并綁定

當校園網(wǎng)中出現(xiàn)ARP攻擊時,ARP公司的計算機會發(fā)送ARP攻擊廣播,此時校園網(wǎng)中其他電腦會根據(jù)ARP緩存表,將網(wǎng)關(guān)中的MAC地址記錄成帶有ARC病毒的MAC地址。因此,此時需要打開命令提示符窗口,輸入“arp-a”顯示ARP緩存表內(nèi)容,若緩存表顯示內(nèi)容與源數(shù)據(jù)不符合,那么表明ARP緩存表中的數(shù)據(jù)已經(jīng)受到侵害,甚至已經(jīng)被篡改。若出現(xiàn)被篡改的情況,則應(yīng)該刪除現(xiàn)有的IP-MAC對應(yīng)表,再在緩存表中添加正確的IP-MAC數(shù)據(jù)。

4.2 在交換機端口應(yīng)用IP-MAC進行綁定

在交換機端口上將MAC地址與IP地址端口進行綁定。綁定成功之后,交換機的ARP緩存表數(shù)據(jù)將固定,任何ARP病毒攻擊或者侵入都無法改變或者影響交換機的ARP緩存表,以此保證路由的準確性。

4.3 在交換機上設(shè)置VLAN

校園網(wǎng)中各個使用終端的廣播信息不能跨越校園網(wǎng)絡(luò),所以通過劃分和設(shè)置VLAN能夠縮小ARP廣播的傳播范圍,從而減小ARP攻擊為校園網(wǎng)帶來的影響。校園網(wǎng)絡(luò)管理人員利用ARP病毒專殺工具監(jiān)測校園網(wǎng)絡(luò)中交換機上出現(xiàn)的病毒源頭之后,立即關(guān)閉病毒傳染的端口,使用終端檢查相應(yīng)的用戶,并及時通知其徹底查殺病毒,繼而關(guān)閉校園網(wǎng)絡(luò)連接,做好單機防范。在徹底查殺病毒之后再開放交換機端口,重新開通,連接互聯(lián)網(wǎng)進行使用。

4.4 ARP報文限速功能

H3C低端以交換機支持端口提供ARP報文限速的功能,使受到ARP攻擊的端口暫時關(guān)閉通信功能[3]。開啟了ARP報文限速功能之后,交換機將對ARP報文數(shù)量實行每秒統(tǒng)計,若每秒出現(xiàn)的ARP報文數(shù)量超過了原有的報文限定值則判定此使用端口受到ARP報文沖擊。此時若使用終端關(guān)閉端口,使終端拒絕接收任何報文便能夠有效避免ARP報文攻擊。

5 結(jié)語

ARP攻擊是利用了ARP協(xié)議上的設(shè)計問題為網(wǎng)絡(luò)安全、信息安全、隱私安全和財產(chǎn)安全帶來隱患,基于此應(yīng)該注重從ARP根源處出發(fā),采取行之有效的防護措施減小或杜絕ARP病毒帶來的危害,保證校園網(wǎng)絡(luò)的暢通和安全。