用Look'n'Stop防火墙实现ARP终极防备[网络技术]

  ARP攻击问题已经被谈论了很多次,很多朋友也提出了很多办理办法,这些在51CTO安全频道“ARP攻击专题”都有表现,这里不罗嗦了.不过我的个人倡议,对着手本领再强的网络工程师,最好的防备ARP攻击的办法通过设置防火墙,使本机只呼应网关来的MAC,这才是办理的根本办法

   国产的防火墙目前很少有这个功效,我个人利用的是Look'n'Stop,配合补钉利用,可安然无忧~

   “Look'n'Stop防火墙”功效强盛、设置复杂,假如对Look'n'Stop防火墙不熟习的人安装完后产生了各种网络问题,最好还是上网查查资料,自己办理一些问题,这样不但办理了问题又学到了知识.实在没办法就上论坛问问.

   附送我个人利用Look'n'Stop防备arp心得:

   ◆禁止网络执法官等arp掌握

   网络执法官是操纵的ARp拐骗的来到达掌握目的的.ARP协议用来解析IP与MAC的对应关系,所以用下列办法可以实现顺从网络执法官的掌握.

   ◆假如你的机械不预备与局域网中的机械通讯,那么可以利用下述办法:

   A.在“互联网过滤”里面有一条“ARP : Authorize all ARP packets”法则,在这个法则前面打上禁止标志;

   B.但这个法则默许会把网关的信息也禁止了,处理的办法是把网关的MAC地址（普通网关是固定的）放在这条法则的“目标”区,在“以太网:地址”里挑选“不等于”,并把网关的MAC地址填写在当时;把自己的MAC地址放在“根源”区,在“以太网:地址”里挑选“不等于”.

   C.在最后一条“All other packet”里,改正这条法则的“目标”区,在“以太网:地址”里挑选“不等于”,MAC地址里填FF:FF:FF:FF:FF:FF;把自己的MAC地址放在“根源”区,在“以太网:地址”里挑选“不等于”.别的不窜改. 

   这样网络执法官就无能为力了.此办法实用于不与局域网中别的机械通讯,且网关地址是固定的情形下.

   假如你的机械需求与局域网中的机械通讯,仅需求摆脱网络执法官的掌握,那么下述办法更简单实用（此办法与防火墙无关）:进入号令行状况,运行“ARP -s 网关IP 网关MAC”便可以了,想得到网关的MAC,只要Ping一下网关,然后用Arp -a号令查看,便可以得到网关的IP与MAC的对应.此办法应当更具通用性,并且当网关地址可变时也很好操作,反复一次“ARP -s 网关IP 网关MAC”就行了.此号令作用是成立静态的ARP解析表.

根源:51cto.com