某用户局域网中存在ARP攻击,常常导致内网用户无法正常访问外部的网络资源,因此部署了UTM进行ARP攻击防护。
1.配置接口GE0/0地址
在左侧导航栏中点击“设备管理 > 接口管理”。
点击GE0/0栏中的按钮,进入“接口编辑”界面。按照下图设置接口GE0/0,点击< 确定 >返回“接口管理”界面。
2.配置接口GE0/2地址
在左侧导航栏中点击“设备管理 > 接口管理”。
点击GE0/2栏中的按钮,进入“接口编辑”界面。按照下图设置接口GE0/2,点击< 确定 >返回“接口管理”界面。
3.接口GE0/0加入Trust域
点击左侧导航栏“设备管理 > 安全域”。
点击Trust栏中的按钮,进入“修改安全域”界面。按照下图将接口GE0/0加入Trust域,点击< 确定 >返回“安全域”界面。
4.接口GE0/2加入Untrust域
点击左侧导航栏“设备管理 > 安全域”。
点击Untrust栏中的按钮,进入“修改安全域”界面。按照下图将接口GE0/2加入Untrust域,点击< 确定 >返回“安全域”界面。
5.配置ARP防攻击方法
5.1免费ARP
(1)配置接口发送免费ARP
点击左侧导航栏“防火墙 > ARP防攻击 > 免费ARP定时发送”。
选择接口GE0/0,发送时间间隔采用默认值,或者输入合适的时间间隔,然后点击,再点击< 确定 >按钮完成配置。这是让内网所有机器记录内网接口GE0/0的ARP表项。
(2)配置发送免费ARP
5.2 ARP扫描
配置ARP扫描
点击左侧导航栏“防火墙 > ARP防攻击 > ARP扫描”。
选择接口GE0/0,设置扫描的开始和结束IP地址范围,例如下图所示。如果不输入地址,则系统会按照接口地址的掩码范围进行扫描。
5.3 ARP固化
配置ARP固化
点击左侧导航栏“防火墙 > ARP防攻击 > ARP固化”,表中将出现所有UTM设备上学习到的全部动态和静态ARP,包括ARP扫描获取的。
勾选想要固化的ARP表项,点击< 固化 >。或者勾选不想固化的ARP,点击< 解除固化 >。“全部固化”和“解除全部固化”用来对ARP固化表中的全部ARP表项进行操作。解除固化操作,实际上是删除该ARP静态表项。
四.验证结果
在内网(192.168.1.0/24)抓取报文,能够每隔2秒钟抓包免费GE0/0发送的免费ARP报文。
扫描之后,内网所有ARP表项将全部出现在ARP表中,可以查看“防火墙 > ARP防攻击 > 固化”中所有表项,例如能看到192.168.1.0/24网段的ARP表项为:
在“防火墙 > ARP防攻击 > 固化”界面中,勾选ARP表项192.168.1.2、192.168.1.11、192.168.1.78,然后点击< 固化 >,结果如下图所示。说明ARP固化之后变成静态ARP,静态ARP会列举在ARP表的最前面,所以这三项的表中显示位置可能会发生变化。
(4)ARP解除固化验证结果
在“防火墙 > ARP防攻击 > 固化”界面中,勾选ARP表项192.168.1.2、192.168.1.11、192.168.1.78,然后点击< 解除固化 >。将会出现如下提示。点击< 确定 >,则这三项ARP静态表项被删除。表中暂时查看不到这三个ARP表项,除非UTM设备重新学习到ARP,或者进行了对应接口的ARP扫描。
该案例暂时没有网友评论
✖
案例意见反馈
亲~登录后才可以操作哦!
确定你的邮箱还未认证,请认证邮箱或绑定手机后进行当前操作