摘要： 目前大多數內網安全產品在防止非法接入時主要使用ARP欺騙的阻斷方式，但ARP欺騙阻斷存在很多不足，啟明星辰公司對此提出了新的思路，天珣內網安全系統采用多種阻斷方式實現主動防御、合規管理。

隨著內網安全管理產品在市場上的熱銷，各種理念的產品層出不窮，但產品同質化趨勢明顯，尤其是針對終端非法接入內網的阻斷方面，手段普遍單一，主要采用ARP欺騙的阻斷方式。任何技術都存在現實的兩面性，ARP欺騙阻斷對于內網安全產品而言，需要科學合理運用才能發揮最大的功效。國內信息安全領軍企業啟明星辰公司在內網安全管理產品的諸多底層技術方面開展了積極的實踐探索，并提出了新的防止非法接入的手段和思路。

一、  什么是ARP欺騙阻斷

ARP（Address Resolution Protocol是地址解析協議），是一種將IP地址轉化成物理地址的協議。從IP地址到物理地址的映射有兩種方式：表格方式和非表格方式。ARP具體說來就是將網絡層（IP層，也就是相當于OSI的第三層）地址解析為數據連接層（MAC層，也就是相當于OSI的第二層）。簡單說，IP地址與MAC地址之間就必須存在一種對應關系，而ARP協議就是用來確定這種對應關系的協議。

ARP欺騙阻斷：在同一個IP子網內，數據包根據目標機器的MAC地址進行尋址，而目標機器的MAC地址是通過ARP協議由目標機器的IP地址獲得的。每臺主機（包括網關）都有一個ARP緩存表，在正常情況下這個緩存表能夠有效維護IP地址對MAC地址的一對一對應關系。但是在ARP緩存表的實現機制和ARP請求應答的機制中存在一些不完善的地方，容易造成ARP欺騙的情況發生。

由于ARP欺騙的阻斷方式技術實現較簡單，就被國內大部分廠商所采用，特別是針對未注冊阻斷、非法訪問的阻斷等，往往都采用ARP欺騙的阻斷方式。

二、  ARP欺騙阻斷的不足

首先，采用ARP欺騙阻斷方式對網絡的負荷影響很大。

ARP工作時，首先請求主機會發送出一個含有所希望到達的IP地址的以太網廣播數據包，然后目標IP的所有者會以一個含有IP和MAC地址的數據包應答請求主機。在ARP欺騙阻斷的實現中，一個ARP請求可能會收到數十個、設置數百個ARP應答，有些ARP欺騙阻斷程序還通過主動發ARP請求實現欺騙，因此，在網絡中采用大量發ARP包的動作對于網絡資源的占用是十分巨大的，可能導致網絡設備性能下降，影響用戶正常的業務。

其次，ARP欺騙阻斷方式準入效果不可靠。

ARP欺騙并不能100%保證有效，比如目標機器的ARP應答包和欺騙包都能正確達到ARP請求者，請求者是否被欺騙還存在一定的機率，或者客戶端安裝了防ARP欺騙的軟件，如果采用ARP欺騙包來實現終端設備的準入控制，效果就可想而知，其自身的缺陷，使得準入的可靠性大為降低。

最后，ARP欺騙阻斷和真正的ARP欺騙難以區分。

在一個網絡內如果啟用了ARP欺騙阻斷，當真的發生ARP欺騙時，后果將是災難性的。用戶將不能區分主動的ARP欺騙阻斷和真正的ARP欺騙，將給用戶的故障排除帶來極大的困難，嚴重影響用戶業務。另一方面，在大多數的ARP欺騙阻斷實現中，往往是子網內的所有電腦同時對目標電腦進行欺騙，如果目標電腦無需受欺騙后，要求所有電腦停止對其進行欺騙，而此時如果個別電腦沒有收到停止欺騙的指令，將導致目標電腦持續不能正常訪問網絡，導致用戶運維事故。

三、  內網安全產品的新型阻斷方式

綜上所述，ARP欺騙的阻斷方式存在很多問題，因此內網安全產品應該辨證地使用這一方式，啟明星辰在其天珣內網安全風險管理與審計系統中提出了不同的思路。

1. 避免單一，采用多種阻斷方式

天珣內網安全風險管理與審計系統在終端接入邊界交換機，可以通過網絡準入控制手段阻斷不合法的終端接入內網，同時，在后臺重要服務器中，通過應用準入控制，實現阻斷不合法的終端訪問重要服務器和服務資源。也就是說，從內網接入邊界、后臺服務器資源和客戶端自身實現無縫的準入控制。在不支持網絡準入和應用準入兩項條件的環境下，天珣產品雖然也使用了ARP欺騙的阻斷方式，但是，這種阻斷方式被大大規范和限制，特別是在個人防火墻只要攔截到ARP欺騙的攻擊，就會立即制止客戶端向其他客戶端發送欺騙包，從而徹底改變了ARP欺騙的不利局面。除此之外，啟明星辰天珣內網安全系統與天清漢馬USG一體化安全網關（UTM）形成UTM平方統一安全套件，提供外網邊界準入控制，可以實現阻斷不合法的終端訪問internet。

2. 主動防御ARP欺騙

    啟明星辰天珣內網安全系統通過檢查IP數據包包頭，可確保數據包欺騙不能發生。通過監控網絡行為的發起進程，防止木馬以隱藏進程方式進行網絡訪問。通過監控ARP請求或應答包，自動綁定網關MAC，拒絕延遲的ARP應答包等方式，防止內網ARP欺騙侵害。內置強大的企業級主機防火墻系統，采用訪問控制、流量控制、ARP欺騙控制、網絡行為模式控制、非法外聯控制等手段，實現了針對計算機終端的威脅主動防御和網絡行為控制，從而保證計算機終端雙向訪問安全、行為受控，有效防護疑似攻擊和未知病毒對企業內網造成的危害。

3.基于終端網絡行為模式的威脅主動防御

啟明星辰天珣內網安全系統具備基于終端網絡行為模式的威脅主動防御機制，通過集中控制每臺計算機終端的網絡行為，限定網絡行為的主體、目標及服務，并結合計算機終端的安全狀態控制網絡訪問，可以有效切斷“獨立進程型”蠕蟲病毒的傳播途徑及木馬和黑客的攻擊路線，彌補防病毒軟件“防治滯后”的弱點。通過監控TCP并發連接數，減緩蠕蟲病毒對網絡造成的損害。通過監控UDP的發包行為，限制異常進程的網絡訪問。

啟明星辰天珣內網安全系統緊密圍繞“合規”，內含企業級主機防火墻系統，通過“終端準入控制、終端安全控制、桌面合規管理、終端泄密控制和終端審計”五維化管理，全面提升內網安全防護能力和合規管理水平。天珣內網安全系統引領了內網安全管理模式的新變革，在行使終端安全管理職能的同時，更與天清漢馬USG一體化安全網關（UTM）組成以“網絡邊界、終端邊界”為主要防護目標的UTM平方統一安全套件，協同構建多層次縱深防御體系，改變了“被動的、以事件驅動為特征”的傳統內網安全管理模式，開創了“主動防御、合規管理”為目標的內網安全管理新時代。