ARP是一種將IP地址轉(zhuǎn)化成物理地址的協(xié)議。從IP地址到物理地址的映射有兩種方式：表格方式和非表格方式。ARP具體說來就是將網(wǎng)絡(luò)層（IP層，也就是相當于OSI的第三層）地址解析為數(shù)據(jù)連接層（MAC層，也就是相當于OSI的第二層）。簡單說，IP地址與MAC地址之間就必須存在一種對應(yīng)關(guān)系，而ARP協(xié)議就是用來確定這種對應(yīng)關(guān)系的協(xié)議。

ARP欺騙阻斷：在同一個IP子網(wǎng)內(nèi)，數(shù)據(jù)包根據(jù)目標機器的MAC地址進行尋址，而目標機器的MAC地址是通過ARP協(xié)議由目標機器的IP地址獲得的。每臺主機（包括網(wǎng)關(guān)）都有一個ARP緩存表，在正常情況下這個緩存表能夠有效維護IP地址對MAC地址的一對一對應(yīng)關(guān)系。但是在ARP緩存表的實現(xiàn)機制和ARP請求應(yīng)答的機制中存在一些不完善的地方，容易造成ARP欺騙的情況發(fā)生。

ARP欺騙阻斷對于內(nèi)網(wǎng)安全產(chǎn)品而言，需要科學(xué)合理運用才能發(fā)揮最大的功效。由于ARP欺騙的阻斷方式技術(shù)實現(xiàn)較簡單，就被國內(nèi)大部分廠商所采用，特別是針對未注冊阻斷、非法訪問的阻斷等，往往都采用ARP欺騙的阻斷方式。

首先，采用ARP欺騙阻斷方式對網(wǎng)絡(luò)的負荷影響很大。

ARP工作時，首先請求主機會發(fā)送出一個含有所希望到達的IP地址的以太網(wǎng)廣播數(shù)據(jù)包，然后目標IP的所有者會以一個含有IP和MAC地址的數(shù)據(jù)包應(yīng)答請求主機。在ARP欺騙阻斷的實現(xiàn)中，一個ARP請求可能會收到數(shù)十個、設(shè)置數(shù)百個ARP應(yīng)答，有些ARP欺騙阻斷程序還通過主動發(fā)ARP請求實現(xiàn)欺騙，因此，在網(wǎng)絡(luò)中采用大量發(fā)ARP包的動作對于網(wǎng)絡(luò)資源的占用是十分巨大的，可能導(dǎo)致網(wǎng)絡(luò)設(shè)備性能下降，影響用戶正常的業(yè)務(wù)。

其次，ARP欺騙阻斷方式準入效果不可靠。

ARP欺騙并不能100%保證有效，比如目標機器的ARP應(yīng)答包和欺騙包都能正確達到ARP請求者，請求者是否被欺騙還存在一定的機率，或者客戶端安裝了防ARP欺騙的軟件，如果采用ARP欺騙包來實現(xiàn)終端設(shè)備的準入控制，效果就可想而知，其自身的缺陷，使得準入的可靠性大為降低。

最后，ARP欺騙阻斷和真正的ARP欺騙難以區(qū)分。

在一個網(wǎng)絡(luò)內(nèi)如果啟用了ARP欺騙阻斷，當真的發(fā)生ARP欺騙時，后果將是災(zāi)難性的。用戶將不能區(qū)分主動的ARP欺騙阻斷和真正的ARP欺騙，將給用戶的故障排除帶來極大的困難，嚴重影響用戶業(yè)務(wù)。另一方面，在大多數(shù)的ARP欺騙阻斷實現(xiàn)中，往往是子網(wǎng)內(nèi)的所有電腦同時對目標電腦進行欺騙，如果目標電腦無需受欺騙后，要求所有電腦停止對其進行欺騙，而此時如果個別電腦沒有收到停止欺騙的指令，將導(dǎo)致目標電腦持續(xù)不能正常訪問網(wǎng)絡(luò)，導(dǎo)致用戶運維事故。

綜上所述，ARP欺騙的阻斷方式存在很多問題，因此內(nèi)網(wǎng)安全產(chǎn)品應(yīng)該辨證地使用這一方式。

1. 避免單一，采用多種阻斷方式

內(nèi)網(wǎng)安全風險管理與審計系統(tǒng)在終端接入邊界交換機，可以通過網(wǎng)絡(luò)準入控制手段阻斷不合法的終端接入內(nèi)網(wǎng)，同時，在后臺重要服務(wù)器中，通過應(yīng)用準入控制，實現(xiàn)阻斷不合法的終端訪問重要服務(wù)器和服務(wù)資源。也就是說，從內(nèi)網(wǎng)接入邊界、后臺服務(wù)器資源和客戶端自身實現(xiàn)無縫的準入控制。在不支持網(wǎng)絡(luò)準入和應(yīng)用準入兩項條件的環(huán)境下，天珣產(chǎn)品雖然也使用了ARP欺騙的阻斷方式，但是，這種阻斷方式被大大規(guī)范和限制，特別是在個人防火墻只要攔截到ARP欺騙的攻擊，就會立即制止客戶端向其他客戶端發(fā)送欺騙包，從而徹底改變了ARP欺騙的不利局面。除此之外，內(nèi)網(wǎng)安全系統(tǒng)與天清漢馬USG一體化安全網(wǎng)關(guān)（UTM）形成UTM平方統(tǒng)一安全套件，提供外網(wǎng)邊界準入控制，可以實現(xiàn)阻斷不合法的終端訪問internet。

2. 主動防御ARP欺騙

內(nèi)網(wǎng)安全系統(tǒng)通過檢查IP數(shù)據(jù)包包頭，可確保數(shù)據(jù)包欺騙不能發(fā)生。通過監(jiān)控網(wǎng)絡(luò)行為的發(fā)起進程，防止木馬以隱藏進程方式進行網(wǎng)絡(luò)訪問。通過監(jiān)控ARP請求或應(yīng)答包，自動綁定網(wǎng)關(guān)MAC，拒絕延遲的ARP應(yīng)答包等方式，防止內(nèi)網(wǎng)ARP欺騙侵害。內(nèi)置強大的企業(yè)級主機防火墻系統(tǒng)，采用訪問控制、流量控制、ARP欺騙控制、網(wǎng)絡(luò)行為模式控制、非法外聯(lián)控制等手段，實現(xiàn)了針對計算機終端的威脅主動防御和網(wǎng)絡(luò)行為控制，從而保證計算機終端雙向訪問安全、行為受控，有效防護疑似攻擊和未知病毒對企業(yè)內(nèi)網(wǎng)造成的危害。

3. 基于終端網(wǎng)絡(luò)行為模式的威脅主動防御

內(nèi)網(wǎng)安全系統(tǒng)具備基于終端網(wǎng)絡(luò)行為模式的威脅主動防御機制，通過集中控制每臺計算機終端的網(wǎng)絡(luò)行為，限定網(wǎng)絡(luò)行為的主體、目標及服務(wù)，并結(jié)合計算機終端的安全狀態(tài)控制網(wǎng)絡(luò)訪問，可以有效切斷獨立進程型蠕蟲病毒的傳播途徑及木馬和黑客的攻擊路線，彌補防病毒軟件防治滯后的弱點。通過監(jiān)控TCP并發(fā)連接數(shù)，減緩蠕蟲病毒對網(wǎng)絡(luò)造成的損害。通過監(jiān)控UDP的發(fā)包行為，限制異常進程的網(wǎng)絡(luò)訪問。

內(nèi)網(wǎng)安全系統(tǒng)可以緊密圍繞合規(guī)，內(nèi)含企業(yè)級主機防火墻系統(tǒng)，通過終端準入控制、終端安全控制、桌面合規(guī)管理、終端泄密控制和終端審計五維化管理，全面提升內(nèi)網(wǎng)安全防護能力和合規(guī)管理水平。

【編輯推薦】

1. 內(nèi)網(wǎng)安全的六大弊病
2. 規(guī)范認證 保障企業(yè)內(nèi)網(wǎng)安全
3. Chinasec公安行業(yè)內(nèi)網(wǎng)安全解決方案