电力信息网络安全加固解决方案(2)

        SecBlade 防火墙模块可以对需要保护的区域进行策略定制，可以支持所有报文的安全检测，同时SecBlade 防火墙模块支持多安全区域的设置，支持Secure VLAN，对于需要防火墙隔离或保护的VLAN区域，用户可以将Secure VLAN绑缚到其中的一个SecBlade 防火墙插卡上，这样可以通过设置Secure VLAN来对交换机内网之间(不同VLAN之间)的访问策略进行定制。

        此外，端口隔离也是内网访问控制的一个有效手段，端口隔离是指交换机可以由硬件实现相同VLAN中的两个端口互相隔离。隔离后这两个端口在本设备内不能实现二、三层互通。当相同VLAN中的主机之间没有互访要求时，可以设置各自连接的端口为隔离端口。这样可以更好的保证相同安全区域内主机之间的安全。即使非法用户利用后门控制了其中一台主机，也无法利用该主机作为跳板攻击该安全区域内的其他主机。并且可以有效的隔离蠕虫病毒的传播，减小受感染主机可能造成的危害。

       3.2 部署防ARP攻击解决方案

       计算机连接正常，却无法打开网页;或者计算机网络出现频繁断线，同时网速变得非常慢，这些都可能是网络中存在ARP欺骗攻击所表现出来的网络现象。

       ARP欺骗攻击不仅会造成联网不稳定，引发用户无法上网，或者企业断网导致重大生产事故，而且利用ARP欺骗攻击可进一步实施中间人攻击，以此非法获取到游戏、网银、文件服务等系统的帐号和口令，对被攻击者造成利益上的重大损失。因此ARP欺骗攻击是一种非常恶劣的网络攻击行为。

       ARP攻击已经对各行各业网络造成了巨大威胁，但一直没有得到有效的解决。连我们熟知的杀毒软件、防火墙都挡不住ARP 欺骗攻击。主要由于ARP欺骗攻击的木马程序，通常会伪装成常用软件的一部分被下载并被激活，或者作为网页的一部分自动传送到浏览者的电脑上并被激活，或者通过U盘、移动硬盘等方式进入网络。由于木马程序的形态特征都在不断变化和升级，杀毒软件常常会失去作用。

       H3C ARP攻击防御解决方案通过对客户端、接入交换机和网关三个控制点实施自上而下的“全面防御”，并且能够根据不同的网络环境和客户需求进行“模块定制”，为用户提供多样、灵活的ARP攻击防御解决方案。

       H3C提供两类ARP攻击防御解决方案：监控方式，认证方式。监控方式主要适用于动态接入用户居多的网络环境，认证方式主要适用于认证方式接入的网络环境;实际部署时，建议分析网络的实际场景，选择合适的攻击防御解决方案。另外，结合H3C独有的iMC智能管理中心，可以非常方便、直观的配置网关绑定信息，查看网络用户和设备的安全状况，不仅有效的保障了网络的整体安全，更能快速发现网络中不安全的主机和ARP攻击源，并迅速做出反映。