免疫ARP攻击IP欺骗 H3C ER2100路由评测

企业 gaohongjun 2011-05-12 02:12
1产品介绍 防御ARP/虚假地址攻击回顶部

  【PConline 评测】ER2100是H3C公司(杭州华三通信技术有限公司)推出的专门面向中小企业用户的宽带路由器产品,是H3C ER系列产品线中的低端型号。既然是低端机型,低廉的售价就必须作为产品的卖点之一,在这一点上ER2100具备一定的优势,其公开报价只有1000元左右。在功能特性方面,ER2100针对中小企业提供了“量体裁衣”式的定制,提供了IPSec VPN、防火墙、网络流量监控、ARP病毒防护、QQ/MSN限制、流量限速、DDNS动态域名等功能。ER2100标称带机量为30-50台PC。

ER2100
H3C ER2100  图片  评测  论坛  报价  网购实价

  H3C ER2100提供了1个10/100Base-TX  WAN端口和4个10/100Base-TX  LAN端口,面板最右侧的是1个Console接口。硬件配置方面,内置MIPS 64位网络处理器、DDR II 64MB内存,可以实现百兆线速转发。机身规格为266(W)×162(D)×44(H) mm,金属外壳,被动散热方式。

ER2100

  机身前面板Console接口用法:ER2100在机身上并没有提供物理的RESET键,那么,如果需要对设备进行一些低层操作时要怎么做?比如恢复出厂设置。答案是使用Console接口,如上图所示,通过Console接口,管理员可以重启设备、恢复出厂设置、设置密码等操作。有一点要注意,Console接口没有提供任何密码保护机制。

中小企业环境典型应用

ER2100
中小企业环境典型应用

  公司不是网吧,但公司的网络资源被滥用却是极为普遍的现象。有限的网络资源极易被BT、迅雷等下载行为耗尽,所以,管控好网络下载对于中小企业来讲至关重要。ER2100通过流量整形模块可以很好的解决企业中P2P程序对带宽的过度占用问题,同时还支持对QQ/MSN等聊天软件进行过滤。

防御ARP/虚假地址攻击

ER2100

  ARP病毒一旦爆发,往往会造成大量电脑无法上网,ARP问题的根源其实是由于ARP协议缺乏相应的安全机制。在内网部署可管理型交换机可彻底消除与ARP相关的各种问题,然而,购置交换机将是一笔不小的开支。面向中小企业市场的路由器产品都提供了这样一种机制防御ARP攻击:向内网发送免费ARP报文。启用“ARP防护”功能后,ER2100会向局域网内发送ARP包,通过这种方式不停刷新客户机上ARP缓存中的IP MAC映射表来达到抑制ARP欺骗的目的。

ER2100
报文源认证

  攻击类型的报文多种多样,除了ARP欺骗外,最主要的就是伪装IP地址和伪装MAC地址的报文。比如:当报文的源IP地址/源MAC地址和静态ARP表项存在冲突时,则路由器会认为该报文是非法伪装的报文,会直接将其丢弃。在大型网络中,交换机上的同类功能可以禁止恶意报文进入内网,但部署这样的交换机将造成花费飞涨。启用报文源认证后可以让路由器和主机之间建立起“信任关系”,路由器可以很大程度上确认报文的合法性。

-----------------------------------------------------------------------------

相关文章:

路由器购买经验 不花冤枉钱
//itbbs.pconline.com.cn/network/12667245.html

解析上网行为管理原理
//network.pconline.com.cn/netsafe/0911/1939687.html

最便宜上网行为管理路由器推荐
//network.pconline.com.cn/guide/1102/2340669.html

-----------------------------------------------------------------------------

2双向限速 业务控制回顶部

  我们使用的测试工具可以达到这样一种攻击效果:它首先扫描局域网内所有活动的IP,然后向攻击对象发送虚假的IP/MAC映射信息。如果没有报文源认证功能,此时路由器就彻底晕了,因为路由器默认无条件相信收到的IP/MAC映射信息。那么,这时路由器还能相信谁?有两张表是可信的:ARP绑定表和DHCP分配记录。基于这两张表对收到的报文进行甄别,路由器就能知道什么报文是真实的,什么报文是虚假应丢弃的。受到攻击时,上网速度会变慢,日志记录也可以提供相关信息。

ER2100
使用虚假报文攻击ER2100,日志记录下了错误事件

ER2100
异常主机流量防护

  主机中毒或其它原因会向Internet发送大量的异常报文,导致阻塞网络,大量消耗设备资源。流量防护功能会对各个主机的流量进行检查,发现有异常流量时会进行指定的处理(如:阻断网络),以保证设备受到此类异常流量攻击时仍可正常工作。为准确区分流量的合法性,建议开启报文源认证页面的相关功能。

双向限速/限连接数

  BT、电驴等P2P下载会占用大量带宽,但是不是封掉它们就天下太平了呢?似乎也不尽然,除了P2P,带宽被滥用还有很多其它复杂原因,所以,用“封堵”的方式解决带宽滥用并不是什么好思路——任何产品所提供的应用封堵功能都是有限的,总会有“漏网之鱼”。那怎么办?答案是可以通过限制带宽和连接数达到规范员工上网行为的目的。

ER2100

  ER2100支持双向限速,这对ADSL用户非常重要,ADSL下行带宽一般可以达到8Mbps,但相比上行带宽就非常“珍贵”了,国内一般只有640Kbps。ER2100支持两种带宽管理方式:只能使用固定带宽和弹性带宽分配。

ER2100

  限速很好理解,但为什么还要限制连接数呢?禁止在PC上使用P2P软件是很难做到的,但我们可以通过限制每个IP的最大连接数变相达到目的。P2P类软件无一例外全部都是“连接数杀手”,比如下载BT、迅雷时,主机的连接数就会飙升。限制了主机连接数之后,如果用户再运行P2P软件,连接数就会被耗尽,这将直接导致其它网络应用失败,比如网页无法打开,影响到了正常上网,这样一个效果,相信用户对P2P软件的使用也会产生一些顾虑。

  我们做了一个简单的测试,以平时的上网习惯,打开几个网页,到处转转,看看新闻,多点开几个感兴趣的网页,差不多17个IE窗口,其中包括网易,新浪等门户网站的首页,这时连接数基本在60以内,而在迅雷中开两个下载任务后瞬间连接数就达到了130左右。

业务控制

ER2100   ER2100
QQ MSN过滤测试,支持设置例外用户(不受限用户)

  ER2100可管控的即时通信软件包括QQ和MSN,启用过滤后,均无法登录。在设置策略时,有一点需要注意,RTX腾讯通与QQ属于类似业务,如需禁止QQ上线但仍需使用RTX,需要配置允许访问的RTX服务器信息。

ER2100   ER2100
股票软件过滤测试,支持设置例外用户(不受限用户)

  ER2100可过滤的股票类软件包括大智慧、分析家、同花顺、广发至强、光大证券和国元证券,我们测试了其中两项,均被成功过滤。

  关于应用过滤,有一点要说明的是,虽然路由器的基础功能(如:限速)是固化的,但是,应用过滤功能并不是,厂商可以通过更新软件让路由器识别更多的应用或修复封堵失败的应用,所以,如果哪天发现路由器失去了对某些应用的过滤能力,更新下固件问题基本就解决了。

3分支机构VPN典型应用回顶部

实用安全/管理功能

ER2100
基于主机MAC地址控制用户上网

ER2100
基于URL“定点”封堵

ER2100
封堵URL后,浏览器无法打开相应网址

分支机构VPN典型应用

ER2100
分支机构VPN典型应用

  在分支机构与总部之间建立一条三层IPSec VPN隧道是既经济又安全的企业组网方式。ER2100支持标准的IPSec VPN,最多可支持10条并发安全连接,通过简单的WEB配置向导就可以实现安全的VPN连接。VPN 中心-分支模式应用在一对多网络中,ER2100 通常作为分支节点的VPN接入设备使用。

ER2100
VPN配置向导

ER2100
动态域名服务

  国内VPN分支节点大多数采用PPPoE拨号(ADSL)动态接入Internet,这就造成分支机构没有固定的IP地址。在ER2100上支持通过域名方式配置IPSec VPN连接,用户无需申请静态IP。

PConline评测室总结

ER2100
H3C ER2100  图片  评测  论坛  报价  网购实价

  在典型的中小型网络中,路由器一般承担两个角色:INTERNET接入网关和中心-分支模式的VPN接入。H3C ER2100是一款非常有针对性的产品,在功能上完全覆盖了中小企业网络的应用模式,而且价格也被控制在了一个合理的范围内。

  小公司往往没有专职的IT人员,所以,维护简单运行稳定就成为了网络的核心取向。WEB界面极大的降低了配置难度,同时,在网络稳定性方面,ER2100对ARP攻击和虚假地址欺骗等也提供了有效的防御手段。

网友评论

写评论

相关推荐