统一管理绝杀ARP 防联动方案试

　　U盘中了毒，然后以它为“中心”影响到了公司内网；或有不轨，将未授权的电脑轻松地接入了内网，因为内网没有任何安全策略，导致所有资源一览无余，同时TA还可以进行一些活动，比如ARP。

　　如何才能让内网变得更加安全？其实答案非常简单——牢牢管住每台

　　进路由器地址交换机上的每个端口。对交换机端口实施有效的管理，其目的是存在风险的流量进入网络，只要做到这一点，什么ARP，DHCP等等，一切都将是浮云。要知道，在内网中搞其实很简单，所以我们必须具备一定的风险防御手段。

　　由器发现内网有SYNFLOOD类别的DDoS时，它会将管理指令发给交换机，交换机在相关端口执行命令，关闭源所在的端口，并实施5分钟的断网惩罚，以整体网络的安全和稳定。

　　今天我们要介绍的不是一款产品，而是一套方案——飞鱼星防安全联动系统（ASN）。ASN系统由

　　由器和交换机两部分组成，由于引入了交换机，所以这套系统可以将管理策略延伸至网络的末端，也就是交换机的每个端口上。除了“延伸”了可管，ASN系统的另一大特点是设备间的联动，只需将交换机接入网络，由器就可以自动查找并接管交换机。这种设计的一大优势就是简化管理，试想，也许管理1台交换机很容易，但如果是10台交换机，甚至是更大型的网络该怎么办？集中管理手段还是很必要的。

　　Volans-6200，这是一款全千兆多WAN防火墙宽带由器，针对网吧应用进行了大量优化。6200内置了64位处理器，1G主频，内存达到了256M，最高支持40万条网络会话。6200提供2个千兆WAN口，4个千兆LAN口，这样的配置可完全满足网吧核心千兆组网的需求，而且为日后网络扩容提供了足够的性能冗余，典型带机量为400台左右。

　　服务器，同时对无盘网络进行了优化。VS-5524GA的具体功能特性包括服务质量（QoS）、组播管理、可实施灵活的安全和管理策略，包括支持基于物理端口、802.1P、COS协议的优先级控制（二层）；支持基于IP和协议的带宽速率或优先级控制（三层）；支持基于传输流和协议的带宽速率或优先级控制（四层）。

　　作为ASN联动系统的一部分，当网络遭受时，系统主控设备（由器或中心交换机）将安全策略和处理机制自动下发到安全事件发生的网络区域，交换机在物理端口实施安全管制，同时会将该安全策略同步到整个网络中，这样就可以实现安全策略联动和一体化防护。本次试用我们将围绕这部分功能展开，具体包括三点内容，分别是ARP、DHCP防御，以及介绍ASN的集中管理方式

　　网络安全攻防战

　　傻瓜型交换机只提供了一个功能——让电脑接入网络，除此之外这类产品就“一无是处”了。如果为了省钱，全网只使用了这类交换机，那么IT对于内网是没有任何控制能力的。比如ARP病毒，它就专门“”那种想省钱的公司。平时，一但ARP病毒爆发，全网必定瘫痪。

　　关于ARP的问题，具体可以参见

　　这个贴子，讲的非常详细。几乎所有由器产品都提供了IP/MAC绑定功能，也许有人认为，它可以防御ARP，然而不幸的是，绑定IP/MAC其实对于防御ARP毫无帮助，因为由器无法验证数据流量来自哪台主机（虚假流量可以轻易被伪造并发送至网络中），只要网络中存在虚假的ARP流量，整个网络或者局部网络就会瘫痪。