校園網環境中ARP防火墻技術的應用

石 峰

(包頭財經信息職業學校,內蒙古 包頭 014060)

0 引言

ARP病毒的出現為國民的網絡生活帶來不利,甚至對使用者的隱私造成威脅,所以ARP病毒的防范和ARP防火墻技術的使用顯得尤為重要。

1 ARP防火墻技術概述

1.1 ARP攻擊方式

1.1.1 ARP泛洪攻擊

ARP泛洪攻擊主機將持續性地把偽造的MAC-IP映射發送給受害主機并對局域網內的所有終端進行廣播,感染正常通信。ARP泛洪攻擊有以下3點特征:第一是通過偽造ARP廣播數據使終端不停地處理廣播數據,從而消耗網絡帶寬；第二是ARP泛洪攻擊將局域網內部的主機或者網關無法及時找到通信對象,導致通信異常或者通信阻斷；第三是用虛擬的IP地址信息搶占ARP高速緩存空間,造成終端無法創建緩存表,無法進行通信。

1.1.2 ARP溢出攻擊

ARP溢出攻擊的特征主要分為兩種:第一是數據包中的源IP地址是非本地網絡中的虛擬IP地址,但是其MAC地址是固定的,當操作系統收到源IP地址在ARP高速緩存表中的數據包時,就會在緩存表中建立對應的入口項；第二是數據包中的源IP地址是非本地網絡中虛擬的IP地址,但是其MAC地址是變化的,發送這種攻擊數據包時會引起CAM表溢出。

1.1.3 ARP掃描攻擊

ARP掃描攻擊是向局域網中的所有使用終端發送ARP請求,從而獲取終端的IP和MAC地址映射對。ARP掃描是為發送ARP掃描攻擊而做準備,從而達到網絡監聽、盜取數據等隱蔽式攻擊的目的。

1.1.4 虛擬主機攻擊

虛擬主機攻擊是攻擊者將自身虛擬成局域網絡中的一臺主機,擁有虛擬的IP地址和物理地址,通過鏈路層捕獲的ARP請求數據包對其進行分析,對于虛擬IP地址的ARP請求則會發送對應的ARP響應和ARP通告。虛擬主機攻擊會占用局域網絡中的IP地址,使之與正常運行的主機IP地址發生沖突,并且新加入局域網的主機也無法正常獲取IP地址,影響主機正常運行。

1.2 ARP防火墻技術

ARP防火墻可在局域網內攔截虛擬的ARP數據包以及主動通告網關本機正確的MAC地址,以確保不經過第三者達到保障數據正確流向的目的。ARP防火墻技術是保證局域網內數據安全、網絡暢通、數據不受第三方控制的防火墻技術。

2 校園網網絡安全影響因素分析

2.1 規模龐大,終端不統一

校園網中的用戶不僅數量較多,并且使用頻次密集,再加上校園網與外界網絡有著密切聯系,所以用戶攜帶的電腦若已經被外界網絡病毒攻擊,那么終端接入校園網之后,校園網也極易受到病毒的侵害,影響校園網的安全運行。

2.2 用戶群體使用活躍

校園網中的使用群體主要是學生和老師,其中學生作為最活躍的使用群體,為校園網的安全帶來一定影響,同時由于無法確定下載的資源是否安全,導致資源中隱藏的木馬等病毒侵入校園網絡。

3 防火墻技術在校園網環境中的應用

3.1 部署防火墻

部署防火墻主要是將防火墻技術置于保護網絡資源的前方,讓防火墻技術能夠發揮抵御病毒、防止病毒侵害的作用,為使用者提供網絡實時監控和管理[1]。

3.2 選擇工作模式

防火墻技術中的工作模式分為路由模式、透明模式和混合模式。若其他設備已經完成配置,使用者通過防火墻-路由器訪問互聯網,防火墻需要設置相應的NAT規則,將防火墻模式改為路由模式；若設備配置完成,使用者通過路由器-防火墻-路由器訪問互聯網,那么防火墻則設置為透明模式,并且其安全規則改為包過濾規則[2]。用戶應該根據校園網的實際情況、結構、使用需求選擇合適的模式進行連接。

3.3 訪問控制策略

首先設置DMZ。DMZ是解決安裝防火墻之后用戶無法訪問內部網絡服務器的問題而設立的緩沖區域,使校園網絡之外的用戶在外網情況下也能訪問內網資源；配置NAT是通過一對一或一對多的形式將內網地址與外網地址進行轉換,不僅能夠解決外網地址不足的問題,也能夠隱藏真實IP地址,為網絡訪問起到安全防護作用；攻擊檢測與防護能夠抵擋外網漏洞掃描、木馬攻擊、惡意代碼植入等攻擊,以分析、識別、統計、流量異常監視等手段判斷是否具有入侵行為,及時發現并及時阻止入侵行為；網絡訪問控制是使用終端進行端口過濾、過濾審計、URL攔截和Ddos攻擊等,長時間結合時間對象、區域對象、服務對象等進行全方位的掌控和監護；應用層控制是針對網絡、郵件或其他應用對應用內容進行分析,篩除垃圾郵件,并針對具體應用和識別控制采取病毒防護和入侵防護措施；病毒防護是通過防火墻技術的相應配置,依托病毒特征建立病毒特征庫,達到隔離病毒、預防病毒入侵的目的；安全報警是當設備本身出現故障或者安全事故時發出警報,以便于管理員及時處理；身份認證預授權是將防火墻技術作為認證服務器,為用戶提供認證服務并與第三方認證服務器通力協作,完成動態口令、證書等用戶認證功能,結合其他訪問控制策略,達到對使用終端的網絡行為實時管控的目的；流量控制是在網絡資源受限的情況下,各類應用搶占網絡帶寬時通過技術手段保證網絡的服務質量,針對校園網應用情況可以采用部署QOS策略。

4 校園網環境中ARP防火墻技術的配置

4.1 利用命令行方式檢測并綁定

當校園網中出現ARP攻擊時,ARP公司的計算機會發送ARP攻擊廣播,此時校園網中其他電腦會根據ARP緩存表,將網關中的MAC地址記錄成帶有ARC病毒的MAC地址。因此,此時需要打開命令提示符窗口,輸入“arp-a”顯示ARP緩存表內容,若緩存表顯示內容與源數據不符合,那么表明ARP緩存表中的數據已經受到侵害,甚至已經被篡改。若出現被篡改的情況,則應該刪除現有的IP-MAC對應表,再在緩存表中添加正確的IP-MAC數據。

4.2 在交換機端口應用IP-MAC進行綁定

在交換機端口上將MAC地址與IP地址端口進行綁定。綁定成功之后,交換機的ARP緩存表數據將固定,任何ARP病毒攻擊或者侵入都無法改變或者影響交換機的ARP緩存表,以此保證路由的準確性。

4.3 在交換機上設置VLAN

校園網中各個使用終端的廣播信息不能跨越校園網絡,所以通過劃分和設置VLAN能夠縮小ARP廣播的傳播范圍,從而減小ARP攻擊為校園網帶來的影響。校園網絡管理人員利用ARP病毒專殺工具監測校園網絡中交換機上出現的病毒源頭之后,立即關閉病毒傳染的端口,使用終端檢查相應的用戶,并及時通知其徹底查殺病毒,繼而關閉校園網絡連接,做好單機防范。在徹底查殺病毒之后再開放交換機端口,重新開通,連接互聯網進行使用。

4.4 ARP報文限速功能

H3C低端以交換機支持端口提供ARP報文限速的功能,使受到ARP攻擊的端口暫時關閉通信功能[3]。開啟了ARP報文限速功能之后,交換機將對ARP報文數量實行每秒統計,若每秒出現的ARP報文數量超過了原有的報文限定值則判定此使用端口受到ARP報文沖擊。此時若使用終端關閉端口,使終端拒絕接收任何報文便能夠有效避免ARP報文攻擊。

5 結語

ARP攻擊是利用了ARP協議上的設計問題為網絡安全、信息安全、隱私安全和財產安全帶來隱患,基于此應該注重從ARP根源處出發,采取行之有效的防護措施減小或杜絕ARP病毒帶來的危害,保證校園網絡的暢通和安全。