ARP攻击防御-多核防火墙篇

ARP攻击防御—多核防火墙篇
神州数码终结者系列防火墙可以自动侦测未安装ARP Tool的客户端，上网请求会被重定向到防火墙进行强制安装，如下图所示：
主机安装客户端程序以后，可以和防火墙实现：
1.自动阻止客户端非法ARP发包请求
2.实现双向ARP认证
3.实时从网关获取ARP可信信息
4.全面杜绝内网ARP及DDoS攻击
5.防止IP地址盗用
多核防火墙的其它ARP防御措施
∙自动发送免费ARP
终结者能够周期性地发送免费ARP包来防御那些伪装成终结者防火器设备IP地址的攻击者。

∙静态IP/MAC/端口绑定
和静态IP/MAC绑定相同，静态MAC/端口绑定可以防御MAC地址表攻击。

如果MAC地址已经与端口静态绑定，防火墙将忽略学习到的MAC，MAC/端口信息与设备中静态绑定的MAC/端口信息不一致的数据包将会被丢弃。

∙ARP反向查询
当收到ARP请求/响应和免费ARP包时，终结者防火器记录发送者的MAC地址并且向发送者发出ARP请求，然后检测返回的结果是否与储存的MAC地址相匹配，如果不匹配，终结者防火器设备将忽略此ARP包，防止受到欺骗。

∙每MAC的IP地址数限制
终结者能够限制每个MAC地址相对应的IP地址数。

将该数值设置为1能够有效限制ARP欺骗和避免中间人攻击。

方案特点
适用于信息点不多的分校区，直接使用防火墙作为网关，配置简单，易于部署，免维护。