网络信息系统方案安全设计书.docVIP

网络信息系统方案的安全设计书 一、 、 2、中毒机器不停的变换自己的IP，来扰乱网关设备的ARP表象，试图让网关看到的所有的IP都是自己，这样其他用户的IP就不能被网关设备认出了，如上图中，PC A可以不停的变换自己的IP，这样网关就会被欺骗认为192.168.43.100也是PC A，PC B当然就不能被网关识别了。 3、中毒机器将自己的MAC地址修改成交换机的下一跳网络设备的MAC地址，试图让交换机的MAC表发生紊乱，让交换机从错误的端口发送出数据包，如上图中，PC A会将自己的MAC地址修改成网关的MAC地址00-E0-0F-27-96-D0，这样交换机在F0/1和F0/24上都学习到这个地址，MAC表就乱了--------这种类型并不能算上ARP病毒，但是同属于欺骗类病毒。 目前大部分厂家都是通过绑定IP、MAC、端口的方式来保证安全，但是这样的方式实现起来麻烦（要一条一条的把绑定信息写进去），如果增加了新设备或者某台设备更换了端口或者网卡，如果不及时通知网络管理员进行修改，就没有办法上网，费时费力。 针对这种情况，我们设计了一套较完善的ARP防护方式。 在端口下过滤ARP报文，防止冒充网关。既然我们知道交换机的F0/24口上接的是网关，那么F0/1 到F0/23口都不可能发送出“我是网关”的ARP信息，所以我们可以在这些端口下过滤此类报文。 交换机命令（需要两层半交换机，S2026/S2126以上设备）： interface FastEthernet0/1 switchport port-security block arp 192.168.43.254 //阻止该端口下发送192.168.43.254的ARP报文 在所有的非上联端口上都配置此类命令，交换机可阻止其下端口发送“我是网关”类的ARP欺骗报文 在接口下配置Filter功能，防ARP扫描攻击。如果中毒机器不停变换自己的IP，那么他在短时间内发送的ARP信息是非常多的，我们可以通过设置ARP计数器的方式来进行管理，在一个时间单位内，如果某个设备发送的ARP数量超过了我们设置的阀值，那么我们将过滤这台设备的MAC一段时间，这个时间段内这台设备发送任何信息我们的交换机都不进行转发。 交换机命令（需要两层半交换机，既S2026/S2126以上设备）： interface FastEthernet0/1 filter arp //在接口下启用arp过滤功能 ！ filter period 5 //以5秒钟为一个统计周期 filter block-time 60 //将攻击主机隔离60秒 filter threshold 100 //一个统计周期超过100个arp报文，就进行隔离 filter enable //在全局下启用过滤功能 一旦交换机F0/1端口下有PC在5秒内发送的ARP报文超过100个，交换机将在60秒内禁止此PC的MAC通过。 免费发放ARP RESPONSE报文，纠正主机错误的网关。对于网关类的设备一般是不主动发送ARP报文的，通常它都是被动响应下面的ARP请求，因此我们也可以让网关主动发送ARP RESPONSE报文，主动矫正下面PC的错误。 交换机命令（需要三层交换机或者路由器） arp free-response //启用免费发放arp response报文的功能 arp free-response interval 30 //发放arp response报文的间隔 interface VLAN1 ip address 192.168.43.254 255.255.255.0 no ip directed-broadcast ! interface Loopback0 ip address 1.1.1.1 255.255.255.0 no ip directed-broadcast 这样每30秒网关可以主动矫正下面PC的错误。 将网关的MAC地址、端口、以及VLAN进行绑定，防止MAC欺骗。 交换机命令（两层设备即可） mac address-table static 00e0.0f96.27d0 vlan 1 interface f0/24 //保证网关的VLAN 1的MAC地址只能出现在F0/24上 将交换机下联口全部开启端口保护，保证用户只能和上联口互通，和其他用户之间无法互通。 交换机命令（两层设备即可） interface FastEthernet0/1 switchport protect 根据上面提到的4种防护ARP欺骗的机制原理，我们可以进行组合，设置多种全网阻断ARP欺骗的拓扑： 首先通过vlan划分隔离广播域，让