基于网络中ARP问题的分析及对策

1某医院网络的现状分析

目前医院网络现存主要问题是ARP病毒的泛滥，表现形式是:虽然网络连接正常，却无法打开网页;计算机网络经常断线，同时网络速度变慢。这些都是由于存在ARP问题，所表现出来的网络故障情况。

ARP欺骗攻击不仅影响网络稳定，更严重的是利用ARP欺骗攻击可进行中间人攻击，欺骗整个局域网内所有主机和网关，导致所有网络流量都经过攻击者主机进行转发，攻击者通过截得获取的信息可得到相关用户名和口令。ARP是把IP翻译成MAC的一种协议，通过它交换机完成数据报文的快速转发，所以交换机要学习IP和MAC的对应关系，形成ARP表项，存储在计算机和网络设备的内存中。因历史原因，ARP设计并没有考虑安全性，于是现实中出现了问题:局域网上的一台主机，如果接收到一个ARP报文，即使该报文不是该主机所发送的ARP请求的应答报文，该主机也会将ARP报文中的发送者的MAC地址和IP地址更新或加入到ARP表中。

2某医院网络改造方案

根据前面与医院的交流，本次网络改造主要解决目前网络当中存在的ARP攻击欺骗为主，兼顾流量分析、终端管理等网络维护管理内容。设计本方案的基础是，网络因为无法再重新布线，需要维持原有网络拓扑，将原先的接入交换机和核心交换机替换为H3C全系列支持ARP攻击防御解决方案的接入交换机H3C3100EI及核心插卡式高端交换机H3CS7502E系列交换机。业界常用解决方案是在接入交换机上配置命令做网关IP和MAC的绑定，防御网关仿冒，H3C也可以实现此方案，但这种方案局限性较大，仅适用某些特定网络场景和一种ARP攻击的防御，不够全面。下面以H3C交换机为例为该医院出现的一些问题进行设计介绍。

2．1全面的ARP攻击防御解决方案

根据该医院ARP攻击的特点，在DHCP监控模式下的防ARP攻击解决方案。通过接入交换机上开启DHCPSnooping功能、配置IP静态绑定表项、ARP入侵检测功能和ARP报文限速功能，可以防御常见的ARP攻击。1)DHCPSnooping功能。通过监听DHCP报文，记录DHCP客户端IP地址与MAC地址的对应关系，并且所有重要服务器的IP的绑定关系将由H3CCAMS认证服务器到计算机终端，避免被ARP攻击欺骗。2)ARP入侵检测功能。H3C接入交换机根据接收到的ARP报文重定向到CPU，综合DHCPSnooping安全特性判断合法性且进行处理。3)ARP报文限速功能。H3C接入交换机支持端口ARP报文限速功能，受到攻击时则临时关闭，避免该类攻击对CPU的影响。4)杜绝静态IP地址更改及ACL访问控制列表实施。5)绑定唯一对应MAC和IP地址，只要有任何用户尝试修改其他地址，都将视为非法行为，产生网络中断，保证其安全性。这样对网络的访问，可挑选在接入及核心交换机上实施，很大程度上减轻出口防火墙的压力。不仅对于外网访问能做规则策略，对于内网网段之间同样可根据具体情况和需求实施不同访问控制。

2．2终端接入安全及管理

在该医院网络建设的过程中，如何提供安全的资源共享，有效的对访问网络资源的人员进行安全管理，成为网络管理人员越来越关注的焦点。目前，网络管理人员关注的问题主要有以下几个方面:①谁是你可信赖的用户?②这些用户应该看到什么?③他们允许在网络的资源上用到什么?④他们是否可以接入到信息资源?⑤他们什么时候可以获得操作权?⑥怎么管理这些移动的或分散于全省各地的用户?⑦这些用户对网络资源的访问是否符合该医院所设定的安全规范?进入隔离区的用户，只有通过一系列安装系统补丁、检查终端系统信息等操作，才能通过网络安全策略的检验。

3实施

3．1部门IP分配

由于网络地址为192．168．60．X到192．168．65．X，其中192．168．60．X是可以上医保网的网段，所以对名医堂、儿科、门诊大厅只能在网段192．168．60．X，药库、病案楼、新病房楼放入内网网段192．168．61．X和192．168．62．X，其余的部门放入外网网段，需要2个外网网段，最后192．168．65．X作为给分医院的。

3．2EAD部署说明

用户终端须安装iNode客户端，在上网前首先进行802．1x和安全认证，否则将不能接入网络或者只能访问隔离区的资源。其中，隔离区是指在交换机中配置的一组ACL，一般包括EAD安全服务器、补丁服务器、防病毒服务器、DNS、DHCP等服务器的IP地址。其中EAD安全服务器和防病毒服务器必须部署于隔离区，杀毒软件可以选择瑞星杀毒软件、金山毒霸2013、Norton防病毒、趋势防病毒、安博士防病毒、CAKill安全甲胄、McAFee防病毒以及江民KV防病毒软件。

3．3实施效果

合法用户接入网络后，其访问权限受交换机中的ACL控制。特定的服务器只能由被授权的用户访问。用户之间的互访权限也同样受ACL控制，不同角色的用户分属不同的VLAN，不可跨VLAN访问。必须在通过安全客户端的检查后，保证没有感染病毒才能安全接入网络。而且病毒库版本和补丁得到及时升级。

4结束语

最后，本网络改造设计根据该医院的实际情况，从网络改造方案来针对问题提出解决方法，以H3C交换机为例从ARP攻击的防御到终端的安全管理的实施来解决该医院存在的ARP攻击严重的问题，以期对ARP防御工作有所帮助。

作者：陈磊 单位：江苏省广电有线信息网络股份有限公司常州分公司