近年來，隨著網絡規模擴大，對各類應用數據安全提出了新的要求。面對各種安全威脅，網絡系統需要按照縱深防御的思想，逐步構建完整的信息安全體系。

很多用戶通過幾年的信息化建設已具備了一些安全防護能力，但目前內網安全管理仍然處于起步階段，在信息網絡接入控制方面基本處于失控狀態，存在著極大的安全風險。

針對用戶遇到的諸多內網安全問題，神州數碼憑借強大的研發實力和對內網安全領域的多年研究推出了內網安全綜合解決方案。下面我們分兩部分來具體介紹：（一）、網絡終端綜合安全管理系統；（二）ARP攻擊全網綜合防御系統。

一、網絡終端綜合安全管理系統

結合客戶實際需求和神州數碼在網絡安全領域多年的研究經驗，我們為用戶提出如下網絡終端綜合安全管理解決方案：

圖片1

本方案主要由三大系統構成：用戶接入認證系統、內網終端安全管理系統和用戶上網行為日志系統。

在部署以上三大系統后，具體使用效果如下：

終端用戶連接到接入交換機時，首先通過DCBI進行接入認證，只有授權用戶才能接入到用戶網絡；認證通過后DCSM對其進行安全檢測及相應的安全授權和策略下發，只有在確認終端安全后才授予其相應的網絡訪問權限，并實時對其進行監控以保障終端上網過程中的安全；當已接入用戶有訪問外部網絡的需求時用戶接入認證系統再對其進行權限檢察，杜絕非授權用戶對外部網絡的訪問，同時NetLog上網行為日志系統記錄其上網行為，以便對用戶進行審計。

上述三大系統的綜合應用實現了從用戶接入、安全策略分配、上網行為審計的全方位安全管理，為終端設備聯入內網提供了強力安全保障。

二、ARP攻擊全網綜合防御系統

近年來，基于病毒的ARP攻擊愈演愈烈，大多數網絡用戶都有過遭遇，尤其網管人員對這類病毒攻擊更是恨之入骨、苦不堪言。

神州數碼網絡公司從客戶端程序、接入交換機、匯聚交換機，一直到網關設備，都研發了ARP攻擊防護功能，客戶可根據自己網絡的特點，靈活選取相關網絡設備和方案。

1、接入交換機篇

接入交換機是最接近用戶側的網絡設備，也最適于通過它進行相關網絡攻擊防護。

（1）、AM功能

AM又名訪問管理，它利用收到數據報文的信息與配置硬件地址池相比較，如果匹配則轉發，否則丟棄。

功能特點：

配置簡單，除了可以防御ARP攻擊，還可以防御IP掃描等攻擊。適用于信息點不多、規模不大的靜態地址環境下。

（2）、ARP Guard功能

基本原理就是利用交換機的過濾表項，檢測從端口輸入的所有ARP報文，如果ARP報文的源IP地址是受到保護的IP地址，就直接丟棄報文，不再轉發，從而避免非法PC冒充網關或服務器進行ARP欺騙。

功能特點：

配置簡單、快速部署，適用于ARP仿冒網關攻擊防護。

（3）、DHCP Snooping功能

實現原理：接入層交換機監控用戶動態申請IP地址的全過程，記錄用戶的IP、MAC和端口信息，并且在接入交換機上做多元素綁定，從而在根本上阻斷非法ARP報文的傳播。

功能特點：

被動偵聽，自動綁定，對信息點數量沒有要求，適用于IP地址動態分配環境下廣泛實施。

（4）、端口ARP限速功能

此功能應用時，若發現網段內存在具有ARP 掃描特征的主機或端口，將切斷攻擊源頭，保障網絡的安全。

功能特點：

全局使能，無須在端口模式下配置，配置簡單。適用于對ARP掃描或者flood攻擊防御。

2、匯聚交換機篇

很多用戶的網絡經過多次升級、擴充，部署的接入交換機的品牌多、型號多。所以在保護用戶現有投資、不升級接入交換機的前提下，全網防御ARP病毒攻擊，成為了神州數碼網絡的關注點。

（1）、端口隔離功能介紹

端口隔離是一個基于端口的獨立功能，隔離端口相互之間流量。利用端口隔離的特性，可以實現VLAN內部的端口隔離，從而節省VLAN資源，增加網絡的安全性。

（2）、Local ARP Proxy功能介紹