Board logo

标题: 加强防火墙的ARP功能 [打印本页]
作者: caibin870     时间: 2007-10-8 11:25    标题: 加强防火墙的ARP功能

微点的防火墙有绑定MAC功能,似乎对ARP攻击有防的作用,但这种防太弱了,有很大一部分用户都是内网上网,特别像在校学生的校园网之类,微点是否考虑加强ARP功能呢?
作者: Legend     时间: 2007-10-8 11:29
您好,感谢您反馈,微点传统防火墙绑定 MAC 地址功能能够起到防御 ARP病毒,您指的这种防弱能说具体些吗?
感谢您对微点的支持!
作者: caibin870     时间: 2007-10-8 11:35
我同时装了微点和风云防火墙,风云不断的提示内网另一IP不断的攻击我的机子,之前没装风云,微点的MAC绑定了,但从不提示,而且导致了常常掉线的结果,装风云之后就解决了。
我声明一下,我并不是说风云好,本人支持微点,一直在用,更不愿一个机子装2个防火墙,加上配置不高,机子就卡起来了。
所以希望微点在ARP攻击这块上能做得更好
作者: Legend     时间: 2007-10-8 11:41
您好,请问风云防火墙提示不断攻击您系统的日志是什么?是 ARP攻击吗?
作者: caibin870     时间: 2007-10-8 11:46
作者: Legend     时间: 2007-10-8 11:49
感谢您进一步的反馈,请问您知道具体是哪台计算机对您进行攻击的吗?请查看这台计算机的真实IP、mac地址进行绑定。
作者: caibin870     时间: 2007-10-8 11:50
相信ARP防护功能装成为今后各种防火墙的一个基本功能之一,像江民和瑞星的新防火墙中都加入了这个功能。360也推出了自己ARP防火墙。
作者: caibin870     时间: 2007-10-8 11:56
本人并不是内行人,只知道攻击包拦了之后,上网就正常了,超版能不能固体的介绍一下,绑定了对方IP,MAC之后就能起到防止该机攻击的效果吗,这种攻和防的原理是什么啊?谢谢
我的内网就5部机,能找到的。
作者: aliu134     时间: 2007-10-8 11:56
但对于网管们对这种ARP防御是种压力!哈哈
作者: caibin870     时间: 2007-10-8 12:01
9楼的说得好,如果那台机攻击就绑那台的MAC,那网吧成百台机器,网管可就有得忙了。
作者: Legend     时间: 2007-10-8 12:06
地址转换协议(ARP)是用来实现 IP 地址与本地网络认知的物理地址(以太网 MAC 地址)之间的映射。
反向地址转换协议(RARP)允许局域网的物理机器从网关服务器的 ARP 表或者缓存上请求其 IP 地址。
您可以将您内网的所有计算机(同一网段就可以了)及网关(可在微点主界面--安全防护策略--传统防火墙  绑定MAC地址--查找所有主机,将其一一绑定即可)
作者: aidi     时间: 2007-10-8 12:10
微点的防火墙默认没有报警,所以你看不出效果;
对于arp欺骗mp采用的是mac地址绑定,这是网管常用的解决办法,用来防止内网内的个别捣乱份子,但真正实施的时候还是全网绑定(机房网关绑定+工位终端绑定)才能够有很好的效果,前提是你手里有正确的所有主机和网关的真实MAC、IP地址对照表。
再大一点的公司有中高端交换机,可以端口安全上进行配置port-security特性,某个端口仅允许某个或某些MAC进出,这样即使中了ARP病毒,也不会影响网络。
所以对于防御arp不能只靠一款安全软件,还需要网络管理员定期检查网络,对网络进行监控和管理。
网络管理员的责任其实很大,不要总认为做网管的只是会要么重启系统要么格式化重装系统,能够做好一名真正的网管很不容易。
作者: aliu134     时间: 2007-10-8 13:21
还是硬件强大!呵呵
某个端口仅允许某个或某些MAC进出,这样即使中了ARP病毒,也不会影响网络。

但会影响到服务器的入侵!还是不要这样看漏了!考虑的不只是这个,而是还有什么
影响和漏的地方!我想你可能已经想好了!但这只针对ARP!呵呵
你那个"这样"可不好!呵呵

[ Last edited by aliu134 on 2007-10-8 at 13:26 ]
作者: qq2008444     时间: 2007-10-8 15:46
ARP除了绑定MAC外没有很有效的方法来根治
所以。。。。靠软件。。。难啊
作者: jcasus     时间: 2007-11-11 13:30
我想问一句.我们这局域网并不是网吧.而是居民区内的.你在微点上绑定了IP和MAC.但是别人转眼就会修改自己的IP.更有甚者修改自己的网卡MAC..在他们修改以后微点的绑定还有效果吗?...还能防的了ARP攻击吗????..微点的防火墙能不能也设计个象antiarp这样的局域网防火墙.来拦截局域网内其它用户对自己的攻击和自己对其它用户的攻击.???.
作者: caibin870     时间: 2007-11-12 14:25


  Quote:
Originally posted by aidi at 2007-10-7 16:10:
微点的防火墙默认没有报警,所以你看不出效果;
对于arp欺骗mp采用的是mac地址绑定,这是网管常用的解决办法,用来防止内网内的个别捣乱份子,但真正实施的时候还是全网绑定(机房网关绑定+工位终端绑定)才能够 ...

不应该出现没报警的情况,至少也应该在防火墙日志中记录ARP攻击的情况,既不报警,也不出现任何记录,难道真的没有ARP攻击出现,那别的防火墙的报警都是乱报的吗?如果能防,又不报,这种也太高智能了吧,相信用户不会喜欢这种做法。
作者: caibin870     时间: 2007-11-12 14:26
试用这么久,我只能说,微点的MAC绑定防ARP攻击,是形同虚设,根本不起作用!!!!!!!!!!!!!!!
作者: caibin870     时间: 2007-11-12 14:27
当然,微点防木马是一流的!!!!占用方面还是可以的。只是部分功能不是很完善!!!
作者: tig     时间: 2007-11-16 14:51


  Quote:
Originally posted by caibin870 at 2007-11-12 14:26:
试用这么久,我只能说,微点的MAC绑定防ARP攻击,是形同虚设,根本不起作用!!!!!!!!!!!!!!!

:(同感...暂时发觉微点对这个还是比较弱...但是,同时发觉360的ARP防火墙也是同样形同虚设的....只能用AntiARP和ARP终结者等类似软件解决此类问题了.



欢迎光临 微点交流论坛 (http://bbs.micropoint.com.cn/) bbs.micropoint.com.cn