SecBlade 防火墻模塊可以對(duì)需要保護(hù)的區(qū)域進(jìn)行策略定制，可以支持所有報(bào)文的安全檢測(cè)，同時(shí)SecBlade 防火墻模塊支持多安全區(qū)域的設(shè)置，支持Secure VLAN，對(duì)于需要防火墻隔離或保護(hù)的VLAN區(qū)域，用戶可以將Secure VLAN綁縛到其中的一個(gè)SecBlade 防火墻插卡上，這樣可以通過(guò)設(shè)置Secure VLAN來(lái)對(duì)交換機(jī)內(nèi)網(wǎng)之間(不同VLAN之間)的訪問(wèn)策略進(jìn)行定制。

        此外，端口隔離也是內(nèi)網(wǎng)訪問(wèn)控制的一個(gè)有效手段，端口隔離是指交換機(jī)可以由硬件實(shí)現(xiàn)相同VLAN中的兩個(gè)端口互相隔離。隔離后這兩個(gè)端口在本設(shè)備內(nèi)不能實(shí)現(xiàn)二、三層互通。當(dāng)相同VLAN中的主機(jī)之間沒(méi)有互訪要求時(shí)，可以設(shè)置各自連接的端口為隔離端口。這樣可以更好的保證相同安全區(qū)域內(nèi)主機(jī)之間的安全。即使非法用戶利用后門(mén)控制了其中一臺(tái)主機(jī)，也無(wú)法利用該主機(jī)作為跳板攻擊該安全區(qū)域內(nèi)的其他主機(jī)。并且可以有效的隔離蠕蟲(chóng)病毒的傳播，減小受感染主機(jī)可能造成的危害。

       3.2 部署防ARP攻擊解決方案

       計(jì)算機(jī)連接正常，卻無(wú)法打開(kāi)網(wǎng)頁(yè);或者計(jì)算機(jī)網(wǎng)絡(luò)出現(xiàn)頻繁斷線，同時(shí)網(wǎng)速變得非常慢，這些都可能是網(wǎng)絡(luò)中存在ARP欺騙攻擊所表現(xiàn)出來(lái)的網(wǎng)絡(luò)現(xiàn)象。

       ARP欺騙攻擊不僅會(huì)造成聯(lián)網(wǎng)不穩(wěn)定，引發(fā)用戶無(wú)法上網(wǎng)，或者企業(yè)斷網(wǎng)導(dǎo)致重大生產(chǎn)事故，而且利用ARP欺騙攻擊可進(jìn)一步實(shí)施中間人攻擊，以此非法獲取到游戲、網(wǎng)銀、文件服務(wù)等系統(tǒng)的帳號(hào)和口令，對(duì)被攻擊者造成利益上的重大損失。因此ARP欺騙攻擊是一種非常惡劣的網(wǎng)絡(luò)攻擊行為。

       ARP攻擊已經(jīng)對(duì)各行各業(yè)網(wǎng)絡(luò)造成了巨大威脅，但一直沒(méi)有得到有效的解決。連我們熟知的殺毒軟件、防火墻都擋不住ARP 欺騙攻擊。主要由于ARP欺騙攻擊的木馬程序，通常會(huì)偽裝成常用軟件的一部分被下載并被激活，或者作為網(wǎng)頁(yè)的一部分自動(dòng)傳送到瀏覽者的電腦上并被激活，或者通過(guò)U盤(pán)、移動(dòng)硬盤(pán)等方式進(jìn)入網(wǎng)絡(luò)。由于木馬程序的形態(tài)特征都在不斷變化和升級(jí)，殺毒軟件常常會(huì)失去作用。

       H3C ARP攻擊防御解決方案通過(guò)對(duì)客戶端、接入交換機(jī)和網(wǎng)關(guān)三個(gè)控制點(diǎn)實(shí)施自上而下的“全面防御”，并且能夠根據(jù)不同的網(wǎng)絡(luò)環(huán)境和客戶需求進(jìn)行“模塊定制”，為用戶提供多樣、靈活的ARP攻擊防御解決方案。

       H3C提供兩類(lèi)ARP攻擊防御解決方案：監(jiān)控方式，認(rèn)證方式。監(jiān)控方式主要適用于動(dòng)態(tài)接入用戶居多的網(wǎng)絡(luò)環(huán)境，認(rèn)證方式主要適用于認(rèn)證方式接入的網(wǎng)絡(luò)環(huán)境;實(shí)際部署時(shí)，建議分析網(wǎng)絡(luò)的實(shí)際場(chǎng)景，選擇合適的攻擊防御解決方案。另外，結(jié)合H3C獨(dú)有的iMC智能管理中心，可以非常方便、直觀的配置網(wǎng)關(guān)綁定信息，查看網(wǎng)絡(luò)用戶和設(shè)備的安全狀況，不僅有效的保障了網(wǎng)絡(luò)的整體安全，更能快速發(fā)現(xiàn)網(wǎng)絡(luò)中不安全的主機(jī)和ARP攻擊源，并迅速做出反映。