【飞鱼星】统一管理绝杀ARP 防攻击联动方案试用-防攻击--安全联动系统-ASN-安全联动

　　信不信由你，对于一般网络来讲，95%以上的问题都是发生在内网。现实中，很难想象外部人员攻破了防火墙，进到内网转了一圈然后扬长而去这样的事情发生。事情往往是这样的，一台电脑因上网或使用U盘中了毒，然后以它为“中心”影响到了公司内网；或有不轨之徒，将未授权的电脑轻松地接入了内网，因为内网没有任何安全策略，导致所有资源一览无余，同时TA还可以进行一些破坏活动，比如ARP攻击。

　　如何才能让内网变得更加安全？其实答案非常简单——牢牢管住每台交换机上的每个端口。对交换机端口实施有效的管理，其目的是抑制存在风险的流量进入网络，只要做到这一点，什么ARP攻击，DHCP攻击等等，一切都将是浮云。要知，在内网中搞破坏其实很简单，所以我们必须具备一定的风险防御手段。

　　如何才能限制虚假ARP包被发送到网络中？只有一个办法——在交换机端口上做限制。将IP地址、MAC地址和交换机端口三者进行绑定，其目的是：在某一端口只允许一组IP/MAC组合通过。由于MAC地址和IP地址在当前子网中均是唯一的，所以它们不可能同时出现在两个端口上，有了这一机制，虚假ARP流量根本就不会被发送到网络中。

主机尝试UDP Flood攻击，网络被切断 >>

防御DHCP攻击

　　当电脑数量较多时，正是DHCP服务大大简化了IP分配与管理的工作。但是，如果有人在网络中私自运行了DHCP服务会怎样？你的网络一定会大乱套。DHCP服务的作用是响应主机请求，应给主机相应的IP地址，但是这一过程基本上是不可控的——任何主机都能收到DHCP请求，任何DHCP服务器都可以应主机的这一请求。如果网络中存在非法DHCP服务器，而所有主机又使用动态IP分配方式，那么网络就乱套了。解决方法同样很简单——禁止非法DHCP流量进入网络，实现这一点，自然也要从交换机端口下手。

非法DHCP服务没有起到作用

　　左图为WINDOWS Server 2003 DHCP服务的控制台，可以看到，没有地址被分配出去，同样，右边的主机没有拿到IP地址。>>

简易的管理方式——安全联动

　　ASN安全联动主要包括两部分功能，协同工作与统一管理，前者是功能层面，而后者是管理层面。现实中，被攻击目标往往是路由器（网关），但是，攻击源却是与交换机直接相连的主机，而管理主机最好的方法就是从交换机端口入手，所以安全联动构成的是一个安全防御系统，路由器负责判断行为是否非法，交换机负责执行“防御动作”。这部分功能主要由“联动惩罚”模块实现。

交换机上的所有功能模块均可在路由器上直接配置，方便管理大型网络

　　飞鱼星安全联动系统（ASN）试用总结：

　　飞鱼星防攻击安全联动系统（ASN）的目标市场是网吧用户，这套系统很好地解决了网络管理所存在的“管理真空”——内网管理，它将可管理性延伸到了网络的末梢——交换机的每个端口上，同时借助统一管理，易用性也得到了很大的改善。用户在选购网络设备时常常存在这样一个误区，路由器一定要精挑细选，而交换机，只要能用就可以了，只买最便宜的。难交换机真的就不重要吗？当然不是。交换机作为网络的大门，不仅仅承担着联通网络的任务，它在管理与安全方面同样起着至关重要作用。

　　现实中，最常见的可能就是ARP攻击和DHCP攻击了，它们的共同特点是没有技术门槛，影响范围大，难以排查故障源。而在它们面前，再好的路由器也完全不给力，因为这本来就不是路由器涉足的领域，内网安全更多时候依靠的其实是交换机，而ASN方案正好整合了两者最重要的安全功能，以协同工作的方式实现了整网可管理。[]