SecPath UTM ARP防攻击的典型配置

SecPath UTM ARP防攻击的典型配置

一．用户需求

某用户局域网中存在ARP攻击，常常导致内网用户无法正常访问外部的网络资源，因此部署了UTM进行ARP攻击防护。

二．组网图

三．配置步骤

1.配置接口GE0/0地址

在左侧导航栏中点击“设备管理 > 接口管理”。

点击GE0/0栏中的按钮，进入“接口编辑”界面。按照下图设置接口GE0/0，点击< 确定 >返回“接口管理”界面。

2.配置接口GE0/2地址

在左侧导航栏中点击“设备管理 > 接口管理”。

点击GE0/2栏中的按钮，进入“接口编辑”界面。按照下图设置接口GE0/2，点击< 确定 >返回“接口管理”界面。

3.接口GE0/0加入Trust域

点击左侧导航栏“设备管理 > 安全域”。

点击Trust栏中的按钮，进入“修改安全域”界面。按照下图将接口GE0/0加入Trust域，点击< 确定 >返回“安全域”界面。

4．接口GE0/2加入Untrust域

点击左侧导航栏“设备管理 > 安全域”。

点击Untrust栏中的按钮，进入“修改安全域”界面。按照下图将接口GE0/2加入Untrust域，点击< 确定 >返回“安全域”界面。

5.配置ARP防攻击方法

5.1免费ARP

（1）配置接口发送免费ARP

点击左侧导航栏“防火墙  > ARP防攻击 > 免费ARP定时发送”。

选择接口GE0/0，发送时间间隔采用默认值，或者输入合适的时间间隔，然后点击，再点击< 确定 >按钮完成配置。这是让内网所有机器记录内网接口GE0/0的ARP表项。

（2）配置发送免费ARP

5.2 ARP扫描

配置ARP扫描

点击左侧导航栏“防火墙 > ARP防攻击 > ARP扫描”。

选择接口GE0/0，设置扫描的开始和结束IP地址范围，例如下图所示。如果不输入地址，则系统会按照接口地址的掩码范围进行扫描。

5.3 ARP固化

配置ARP固化

点击左侧导航栏“防火墙  > ARP防攻击 > ARP固化”，表中将出现所有UTM设备上学习到的全部动态和静态ARP，包括ARP扫描获取的。

勾选想要固化的ARP表项，点击< 固化 >。或者勾选不想固化的ARP，点击< 解除固化 >。“全部固化”和“解除全部固化”用来对ARP固化表中的全部ARP表项进行操作。解除固化操作，实际上是删除该ARP静态表项。

   四．验证结果

（1）免费ARP验证结果

在内网（192.168.1.0/24）抓取报文，能够每隔2秒钟抓包免费GE0/0发送的免费ARP报文。

（2）ARP扫描验证结果

扫描之后，内网所有ARP表项将全部出现在ARP表中，可以查看“防火墙 > ARP防攻击 > 固化”中所有表项，例如能看到192.168.1.0/24网段的ARP表项为：

（3）ARP固化验证结果

在“防火墙 > ARP防攻击 > 固化”界面中，勾选ARP表项192.168.1.2、192.168.1.11、192.168.1.78，然后点击< 固化 >，结果如下图所示。说明ARP固化之后变成静态ARP，静态ARP会列举在ARP表的最前面，所以这三项的表中显示位置可能会发生变化。

（4）ARP解除固化验证结果

在“防火墙 > ARP防攻击 > 固化”界面中，勾选ARP表项192.168.1.2、192.168.1.11、192.168.1.78，然后点击< 解除固化 >。将会出现如下提示。点击< 确定 >，则这三项ARP静态表项被删除。表中暂时查看不到这三个ARP表项，除非UTM设备重新学习到ARP，或者进行了对应接口的ARP扫描。