锐捷网络：整网联动之道

　　近两个月来，可穿透目前所有还原系统的IGM和机器狗病毒大肆作孽。病毒本身并无任何危害性，但其可通过网络下载各种病毒、木马等危害性程序，截取用户账号密码等信息；中毒的机器还会利用ARP欺骗进行局域网传播，拦截其它用户打开的网页，自动加载病毒网页；中毒机器发出的大量非法报文会造成整个局域网的不稳定，网速慢，甚至频繁掉线。

　　当然，重做系统是最彻底的解决办法。除此之外，锐捷网络也依靠自身产品和方案的优势，给出了一个有效抑制病毒发作的解决之道。

　　经过我们1个多月的内部严格测试，并在全国超过100家网吧3个多月的实际应用测试。具有里程碑意义的NBR路由器v9.10软件版本携同第三代网吧解决方案——智能联动正式发布啦！

　　让我们看看锐捷网络是如何对付病毒的吧！

　　【病毒传播过程简单分析】

　　PC1中毒后，会对内网进行ARP扫描，试图访问内网其它PC的TCP 139、445端口，建立文件共享连接；还会试图访问这些PC的TCP 80端口，以利用微软IIS漏洞获取网站源代码；对内网发送大量ARP欺骗报文，冒充网关，造成信息泄露、上网慢、掉线。（另：变种ARP病毒可自动删除PC上的静态ARP绑定，导致双绑失效）。

　　【定位病毒源】

　　——我们不能防止中毒事件的发生，但我们可以最快的找出哪台机器中了病毒，再对其进行手工杀毒或重做系统。

　　从我们研究的结果来看，中了IGM或机器狗病毒的机器绝大部分会自动下载ARP病毒，对内网的其它机器进行ARP扫描和欺骗。所以说，我们只需要准确判断出哪台机器中了ARP病毒，就可以知道哪台机器中了IGM或机器狗病毒（已确认内网机器存在IGM或机器狗病毒的情况下）。

　　锐捷网络NBR系列路由器的ARP欺骗定位功能登场啦

　　通过ARP嫌疑主机列表，即可轻松知道内网中了ARP病毒的主机IP和MAC信息。应立刻对其断网杀毒或重做系统。

网友1:强！ 2007-12-14 15:56:30

　　网友2:锐捷的东西真的很不错！ 2007-12-14 15:56:48

　　网友3:嗯，安全可网管交换机是硬道理 2007-12-14 17:27:45

　　讨论区快速回复

　　【检测内网PC安全性】

　　病毒检测功能可检测内网在线PC是否存在冲击波和震荡波中毒嫌疑，这两个病毒对应的端口即为139、445，嫌疑列表里的主机需要手工关闭139和445端口，不给IGM和机器狗病毒可趁之机。

【屏蔽自动下载病毒的网址】

　　——我们还是不能防止中毒事件的发生，但是我们可以尽可能多的屏蔽自动下载病毒的网址，不让中毒的机器去下载其它的病毒或木马。

　　另：路由器的ACL功能都为软件实现，非常占用CPU资源（NBR系列路由器的高性能派上用场了^^）。

　　网友1:强！ 2007-12-14 15:56:30

　　网友2:锐捷的东西真的很不错！ 2007-12-14 15:56:48

　　网友3:嗯，安全可网管交换机是硬道理 2007-12-14 17:27:45

　　讨论区快速回复

　　添加内网防火墙规则过滤目的IP地址为以上IP的报文。

使用域名过滤功能屏蔽非法网站。

路由器会自动进行域名解析，并将此域名对应的IP添加到防火墙规则。

友情提示：

　　1、凡本网的所有原创作品，包括本网刊载经授权的文章以及标有“中国网吧在线(http://www.wbzol.com)”版权LOGO的图片，版权均属于中国网吧在线，需要转载请与中国网吧在线联系。已经本网授权使用作品的，应在授权范围内使用，保证作品的完整性并注明“来源：中国网吧在线(http://www.wbzol.com)”和作者姓名。违反上述声明者，本网将追究其相关法律责任。

　　2、本网注明“出处：×××”的作品(非中国网吧在线原创的作品)，均转载自其它媒体，转载目的在于传递更多信息，并不代表本网赞同其观点和对其真实性负责，本网不承担此类稿件侵权行为的连带责任。

　　3、在本网的文章页面上进行跟帖、发表言论者以及论坛发言和回复者，均为网友言论，不代表中国网吧在线观点。

　　4、中国网吧在线立志于打造网吧创新服务平台，为网吧产业界上下游尽心服务，我们的理念是“创新 共赢”，如有任何问题及相关合作事宜，请发信至wbzol#wbzol.com(请将#转换为@)。

　　网友1:强！ 2007-12-14 15:56:30

　　网友2:锐捷的东西真的很不错！ 2007-12-14 15:56:48

　　网友3:嗯，安全可网管交换机是硬道理 2007-12-14 17:27:45

　　讨论区快速回复

　　【整网联动，硬件过滤内网非法报文】

　　——我们终究不能防止中毒事件的发生，但若使用我们的联动方案（锐捷NBR路由器+锐捷安全交换机），就可以让中毒机器发出的非法报文无法在内网中传播，从而无法感染别的机器或是造成内网不稳定甚至整网掉线。

　　启用可信任ARP功能，验证ARP表项的合法性，保证所绑定的IP/MAC为正确的对应关系，不受欺骗。

启用安全联动功能，与下联安全交换机建立联动关系。

　　NBR路由器会自动将经过可信任ARP验证过的正确的IP/MAC对应关系及安全策略下发接入交换机，在交换机的端口上自动完成IP/MAC/端口的三元素绑定并启用ARP Check。硬件过滤非法报文，不占用系统资源。

　　从网络设备的角度出发，目前只有锐捷网络的联动方案才能够真正有效的抑制IGM和机器狗病毒，即使病毒再猖獗，也只会影响中毒PC自身，而无法危害整个局域网用户的正常使用。为网吧打造一个安全稳定不掉线的“黄金内网”！

　　我们的口号是：上自己的网，让别人中毒去吧！~