关于sep11的防火墙防arp增强设置

显示全部楼层 · 发表于 2008-8-5 16:22:03

之前看到有人询问sep防arp的能力，sep提供的方arp欺骗只是简单的阻止网关以外的机器更改你的arp缓存。所以说还是比较弱的，于是就去寻求增强的方法，因为听说CHX的防arp最强（单纯从防本机来说，不跟专业的比

），然后就去参考了chx和lns的防arp规则，发现主要还是通过包过滤的办法。然后我试着看了下sep的自定义规则，发现其实sep的防火墙是可以过滤ARP包的。然后仔细了解了下arp的攻击原理。为什么要增强呢？因为sep本身如前面所说，只是简单的防欺骗，但是对arp包是不过滤的，这就导致你被攻击时接受所有的arp包，系统还要去判断。实际上是资源浪费，可能一直猛烈的攻击就会拖系统和网速。所以加个包过滤最好。
当然还有一点要说明的是，这类防arp只是针对本机，如果是针对网关的arp欺骗除了绑定mac－ip外，没什么好的解决方法。

下面说方法：
1.在sep的网络威胁防护理选配置防火墙规则。

2.新建规则，取名为arp0806 allow（这里推荐用英文，便于规则的导入导出）状态选允许通信，远程主机选mac，输入路由或者说网关的mac，然后在协议里选以太网，选择协议，可以建立三条规则，分别对应arp0x806，帧中继arp0x808，和反向ARP0x8035。然后确定。

3.前面是接受规则，最后要补上对应三条block arp规则，状态选阻止通信，远程主机选所有主机，协议对应三个，确定完成。
4.6条规则要有先后次序，允许的三个放在上面，阻止的三个放在允许的下面。次序不能颠倒。

补充：0x806为arp广播，而0x808我看到过说是p2p终结者会释放此包，所以这两个必须建立规则，至于那个反向arp，不太明白是啥意思，不嫌麻烦的可以一并设规则。

以上通过这样的设定就可以像chx一样过滤arp包，这样可更好地防arp和降低系统负荷，这样理论上来说那个防mac欺骗就不用勾选了，而且获得相对强大的防arp能力，至于强到什么程度就看sygate的包过滤效率了，想必不会差到哪去，绝对比原来的默认防arp强得多。

声明一下所谓的加强是什么意思：

你明白原理就知道为什么chx强了，单纯防本机arp靠的就是过滤，你认为chx的过滤不强？只是现在大多arp攻击（如p2p终结者）是针对网关的，个人墙对这个无能为力，专业的如你说的风云，可能专业的防arp墙还会针对网关arp攻击做优化，也就是定时向网关声明自己。这样对缓解网关堵塞有很大帮助。（所以说单从过滤角度说chx还是最强，如果要针对网关优化，还是专业级的防火好，你可以绑定网关试试，绝对是chx受影响小）
还有其实有了包过滤基本上阻止修改本机arp缓存就不是那么重要了，像comodo，它可以阻止arp攻击改写arp缓存，也可以阻止本机回应，但为什么说comodo防arp效果不好，就是没有过滤。。。

其实只要自己跟网关都没被欺骗，那接下来靠的就是包过滤了，为什么有的所谓arp防火墙能低档攻击，但网速还是被限（原理都一样），一是过滤不行，系统消耗无谓的资源在包响应上。二是针对网关攻击优化不大。

最后要说一下其实有条件的只要双向绑定，然后再加个chx之类的包过滤墙，绝对是如入无人之境。
我所说的加强只是针对个人墙，专业的有专业功能，这个个人防火没办法，单其实网关绑定就好了。

[ 本帖最后由 zlx42 于 2009-8-27 19:02 编辑 ]

显示全部楼层 · 发表于 2008-8-5 17:25:26

顶起，虽然看不懂

显示全部楼层 · 发表于 2008-8-5 20:22:56

实际上CHX防arp并不强，风云比它厉害。

显示全部楼层 · 发表于 2008-8-5 20:38:26

值得探讨

显示全部楼层 · 发表于 2008-8-5 21:35:15

这玩意太深奥了，我等菜鸟望而却步了

显示全部楼层 · 发表于 2008-8-5 23:14:05

我也来看看

显示全部楼层 · 发表于 2008-8-5 23:18:10

非局域网And不用SEP的飘过
防ARP最好用个专业级的反ARP墙

显示全部楼层 · 发表于 2008-8-6 05:54:23

原帖由 jlennon 于 2008-8-5 20:22 发表
实际上CHX防arp并不强，风云比它厉害。

你明白原理就知道为什么chx强了，单纯防本机arp靠的就是过滤，你认为chx的过滤不强？只是现在大多arp攻击（如p2p终结者）是针对网关的，个人墙对这个无能为力，专业的如你说的风云，可能专业的防arp墙还会针对网关arp攻击做优化，也就是定时向网关声明自己。这样对缓解网关堵塞有很大帮助。（所以说单从过滤角度说chx还是最强，如果要针对网关优化，还是专业级的防火好，你可以绑定网关试试，绝对是chx受影响小）
还有其实有了包过滤基本上阻止修改本机arp缓存就不是那么重要了，像comodo，它可以阻止arp攻击改写arp缓存，也可以阻止本机回应，但为什么说comodo防arp效果不好，就是没有过滤。。。

其实只要自己跟网关都没被欺骗，那接下来靠的就是包过滤了，为什么有的所谓arp防火墙能低档攻击，但网速还是被限（原理都一样），一是过滤不行，系统消耗无谓的资源在包响应上。二是针对网关攻击优化不大。

最后要说一下其实有条件的只要双向绑定，然后再加个chx之类的包过滤墙，绝对是如入无人之境。
我所说的加强只是针对个人墙，专业的有专业功能，这个个人防火没办法，单其实网关绑定就好了。

[ 本帖最后由 zlx42 于 2008-8-6 06:31 编辑 ]

显示全部楼层 · 发表于 2008-8-6 10:26:46

同意楼上。

显示全部楼层 · 发表于 2008-8-6 12:56:00

学习一下

[原创] 关于sep11的防火墙防arp增强设置

评分

回复 8楼 zlx42 的帖子