内部网络安全技术之如何防止非法接入

　　随着内网安全管理产品在市场上的热销，各种理念的产品层出不穷，但产品同质化趋势明显，尤其是针对终端非法接入内网的阻断方面，手段普遍单一，主要采用ARP欺骗的阻断方式。任何技术都存在现实的两面性，ARP欺骗阻断对于内网安全产品而言，需要科学合理运用才能发挥最大的功效。国内信息安全领军企业启明星辰公司在内网安全管理产品的诸多底层技术方面开展了积极的实践探索，并提出了新的防止非法接入的手段和思路。

　　一、 什么是ARP欺骗阻断

　　ARP(Address Resolution Protocol是地址解析协议)，是一种将IP地址转化成物理地址的协议。从IP地址到物理地址的映射有两种方式：表格方式和非表格方式。ARP具体说来就是将网络层(IP层，也就是相当于OSI的第三层)地址解析为数据连接层(MAC层，也就是相当于OSI的第二层)。简单说，IP地址与MAC地址之间就必须存在一种对应关系，而ARP协议就是用来确定这种对应关系的协议。

　　ARP欺骗阻断：在同一个IP子网内，数据包根据目标机器的MAC地址进行寻址，而目标机器的MAC地址是通过ARP协议由目标机器的IP地址获得的。每台主机(包括网关)都有一个ARP缓存表，在正常情况下这个缓存表能够有效维护IP地址对MAC地址的一对一对应关系。但是在ARP缓存表的实现机制和ARP请求应答的机制中存在一些不完善的地方，容易造成ARP欺骗的情况发生。

　　由于ARP欺骗的阻断方式技术实现较简单，就被国内大部分厂商所采用，特别是针对未注册阻断、非法访问的阻断等，往往都采用ARP欺骗的阻断方式。

　　二、 ARP欺骗阻断的不足

　　首先，采用ARP欺骗阻断方式对网络的负荷影响很大。

　　ARP工作时，首先请求主机会发送出一个含有所希望到达的IP地址的以太网广播数据包，然后目标IP的所有者会以一个含有IP和MAC地址的数据包应答请求主机。在ARP欺骗阻断的实现中，一个ARP请求可能会收到数十个、设置数百个ARP应答，有些ARP欺骗阻断程序还通过主动发ARP请求实现欺骗，因此，在网络中采用大量发ARP包的动作对于网络资源的占用是十分巨大的，可能导致网络设备性能下降，影响用户正常的业务。

　　其次，ARP欺骗阻断方式准入效果不可靠。

　　ARP欺骗并不能100%保证有效，比如目标机器的ARP应答包和欺骗包都能正确达到ARP请求者，请求者是否被欺骗还存在一定的机率，或者客户端安装了防ARP欺骗的软件，如果采用ARP欺骗包来实现终端设备的准入控制，效果就可想而知，其自身的缺陷，使得准入的可靠性大为降低。

　　最后，ARP欺骗阻断和真正的ARP欺骗难以区分。

　　在一个网络内如果启用了ARP欺骗阻断，当真的发生ARP欺骗时，后果将是灾难性的。用户将不能区分主动的ARP欺骗阻断和真正的ARP欺骗，将给用户的故障排除带来极大的困难，严重影响用户业务。另一方面，在大多数的ARP欺骗阻断实现中，往往是子网内的所有电脑同时对目标电脑进行欺骗，如果目标电脑无需受欺骗后，要求所有电脑停止对其进行欺骗，而此时如果个别电脑没有收到停止欺骗的指令，将导致目标电脑持续不能正常访问网络，导致用户运维事故。