随着电力信息业务的飞速发展，各级电力公司均在其营业范围内部署了由交换机组成的城域网络，为电力营销、OA、EAM、CRM等业务的推广提供了有利的支持。不过随着网络边界的延伸，各种安全问题也摆在了电力信息主管们的案头。如非法访问问题、病毒入侵问题、黑客攻击问题等，如何有效解决这些问题一直困扰着电力信息主管们。在此，H3C依据自身产品的特性，结合在全国电力城域网规模部署的经验推出系列最佳实践和客户一起分享。本期介绍客户比较关心的ARP攻击防御技术。

    当前ARP攻击及欺骗攻击严重影响了电力客户网络的运行，主要表现为网络慢（由于攻击导致设备处理性能变低，及中间人攻击导致的性能瓶颈）、网络中断（中间人攻击导致网络流量转发路径更改引起的临时中断，及ARP中毒引起网络中断）。

    H3C的S9500/S7500E/S5500/S3600系列交换机对于ARP攻击/欺骗攻击，都有比较有效的防御手段。首先对于防御ARP攻击，交换机可以启用ARP防攻击功能。当交换机收到ARP报文时，会根据报文源MAC地址记录单位时间收到的ARP报文数目，当检测到单位时间内某个源MAC地址的ARP报文数目超出一定限度，认为该主机在进行ARP攻击，就会对该攻击源进行屏蔽。以城域网接入交换机为例，在该交换机上启用ARP入侵检测（ARP Intrusion Inspection)功能，通过对ARP报文的MAC、IP进行有效性检验，丢弃无效ARP报文，从而在接入层杜绝ARP攻击。配置示例如下：

＃进入系统视图

[H3C]dhcp-snooping

＃进入VLAN视图

[H3C]arp detection enable

＃ARP/DHCP速度限制

[H3C]dhcp rate-limit enable

[H3C]arp rate-limit enable

对于ARP欺骗攻击，S9500等交换机具有ASD (ARP Spoofing Defence)ARP欺骗防御功能，可支持三种方式进行ARP欺骗攻击防御：

1) 第一种为固定MAC地址方法，对于动态ARP第一次学习到后就不允许再通过ARP学习对MAC地址进行修改，只有等ARP老化后才允许学习新的MAC；

2) 第二种为多元素固定法，对于动态ARP学习和已解析的短静态ARP的MAC地址及其对应的端口、VLAN都不允许修改，只有等ARP老化后才允许学习新的MAC；

3) 主动确认方法：启用主动确认方式防攻击时，在收到涉及MAC地址变化的ARP报文时，不对此ARP直接进行修改，而是先对原ARP表项对应用户发一个单播确认，如果收到应答报文，则不允许修改ARP表；如果一定时间内没有收到应答报文，则允许修改ARP表。

同时，作为IToIP解决方案提供商，H3C在网络安全方面提供的是组合拳、立体防御，后续我们将介绍EAD、iSPN之IPS、NTA等多种特色方案。