路由器开启arp
路由器设置和使用需要一定的技巧和经验,如果您是新手,本文将为您提供实用的操作指南和技巧。
本文目录一览:
怎么开启路由器的ARP防火墙, 我在路由器里面找不到,
路由器防火墙对路由和上网管理取着重要的作用。开器它和正确设置后可以管理IP地址和MAC地址。
1.选择缺省过滤规则为:凡是不符合已设IP地址过滤规则的数据包,禁止通过本路由器。
2、添加IP地址过滤新条目:
允许内网192.168.1.103完全不受限制的访问外网的所有IP地址。因默认规则为“禁止不符合IP过滤规则的数据包通过路由器”,所以内网电脑IP地址段:192.168.1.100-192.168.1.102不需要进行添加,默认禁止其通过。
3、保存后生成如下条目,即能达到预期目的。
4、浏览网页需使用到80端口(HTTP协议),收发电子邮件使用25(SMTP)与110(POP),同时域名服务器端口号53(DNS)
5、设置方法如下:
选择缺省过滤规则为:凡是不符合已设IP地址过滤规则的数据包,禁止通过本路由器。
6、设置生成如下条目后即能达到预期目的。
路由器ARP怎么开启
连接路由器的状态下用浏览器打开网页,输入网址192.168.0.1,用户名和密码都是admin,进入管理界面就可以更改设置了,如果网址不对,你就要看一下说明书上给的网址了
华为ar路由器打开arp
ARP欺骗指恶意用户通过发送伪造的ARP报文,恶意修改网关或网络内其他主机的ARP表项,造成用户或网络的报文转发异常。
恶意用户仿冒其他用户向网关发送ARP报文,导致网关学习到错误的用户ARP表项。
恶意用户仿冒网关发出ARP报文,导致网络中其他用户学习到错误的网关ARP表项。
恶意用户通过构造畸形的ARP报文进行攻击,导致路由器学习到错误的ARP表项。
安全策略
针对以上攻击行为,可以在路由器上配置如下安全策略。
ARP表项固化
路由器支持三种ARP表项固化模式,这三种模式适用于不同的应用场景,且是互斥关系。
fixed-mac方式适用于用户MAC地址固定,但用户接入位置频繁变动的场景。当用户从不同接口接入路由器时,路由器上该用户对应的ARP表项中的接口信息可以及时更新。
fixed-all方式适用于用户MAC地址固定,并且用户接入位置相对固定的场景。
send-ack方式适用于用户的MAC地址和接入位置均频繁变动的场景。
动态ARP检测(DAI)
使能DAI的路由器会将ARP报文对应的源IP、源MAC、接口、VLAN信息和绑定表中的信息进行比较,如果信息匹配,说明发送该ARP报文的用户是合法用户,允许此用户的ARP报文通过,否则就认为是攻击,丢弃该ARP报文。绑定表通常通过DHCP Snooping动态生成,也可手工配置指定。
ARP防网关冲突
为了防范攻击者仿冒网关,当用户主机直接接入网关时,可以在网关路由器上使能ARP防网关冲突攻击功能。当路由器收到的ARP报文存在下列情况之一:
ARP报文的源IP地址与报文入接口对应的VLANIF接口的IP地址相同。
ARP报文的源IP地址是入接口的虚拟IP地址,但ARP报文源MAC地址不是VRRP虚MAC。
路由器就认为该ARP报文是与网关地址冲突的ARP报文,路由器将生成ARP防攻击表项,并在后续一段时间内丢弃该接口收到的同VLAN以及同源MAC地址的ARP报文,这样就可以防止与网关地址冲突的ARP报文在VLAN内广播。
发送ARP免费报文
在网关路由器上配置发送免费ARP报文的功能,用来定期更新合法用户的ARP表项,使得合法用户ARP表项中记录的是正确的网关地址映射关系。
ARP报文内MAC地址一致性检查
路由器收到ARP报文时,对以太报文头中的源、目的MAC地址和ARP报文中的源、目的MAC地址进行一致性检查。如果以太网数据帧首部中的源/目的MAC地址和ARP报文中的源/目的MAC地址不同,则认为是攻击报文,将其丢弃;否则,继续进行ARP学习。可以有效防止恶意用户通过构造畸形ARP报文对网络或者网络路由器的攻击。
ARP报文合法性检查
为了防止非法ARP报文的攻击,可以在接入路由器或网关路由器上配置ARP报文合法性检查功能,用来对MAC地址和IP地址不合法的ARP报文进行过滤。路由器提供以下三种可以任意组合的检查项配置:
IP地址检查:路由器会检查ARP报文中的源IP和目的IP地址,全0、全1、或者组播IP地址都是不合法的,需要丢弃。对于ARP应答报文,源IP和目的IP地址都进行检查;对于ARP请求报文,只检查源IP地址。
源MAC地址检查:路由器会检查ARP报文中的源MAC地址和以太网数据帧首部中的源MAC地址是否一致,一致则认为合法,否则丢弃报文。
目的MAC地址检查:路由器会检查ARP应答报文中的目的MAC地址是否和以太网数据帧首部中的目的MAC地址一致,一致则认为合法,否则丢弃报文。
ARP表项严格学习
配置ARP表项严格学习功能后,只有本路由器主动发送的ARP请求报文的应答报文才能触发本路由器学习ARP,其他路由器主动向本路由器发送的ARP报文不能触发本路由器学习ARP,这样可以拒绝大部分的ARP报文攻击。
DHCP触发ARP学习
在DHCP用户场景下,当DHCP用户数目很多时,路由器进行大规模ARP表项的学习和老化会对路由器性能和网络环境形成冲击。为了避免此问题,可以在网关路由器上使能DHCP触发ARP学习功能。当DHCP服务器给用户分配了IP地址,网关路由器会根据VLANIF接口上收到的DHCP ACK报文直接生成该用户的ARP表项。
配置方法
配置ARP表项固化
使能ARP表项固化功能,指定固定模式为固化MAC方式。
Huawei system-view
[Huawei] arp anti-attack entry-check fixed-mac enable
配置动态ARP检测(DAI)
使能接口Eth1/0/1下的动态ARP检测功能。
Huawei system-view
[Huawei] interface ethernet 1/0/1
[Huawei-Ethernet1/0/1] arp anti-attack check user-bind enable
配置ARP防网关冲突
使能ARP防网关冲突攻击功能。
Huawei system-view
[Huawei] arp anti-attack gateway-duplicate enable
配置发送ARP免费报文
在接口VLANIF10下使能发送免费ARP报文的功能。
Huawei system-view
[Huawei] interface vlanif 10
[Huawei-Vlanif10] arp gratuitous-arp send enable
配置ARP报文内MAC地址一致性检查
使能指定接口的ARP报文内MAC地址一致性检查。
Huawei system-view
[Huawei] interface gigabitethernet 1/0/1
[Huawei-GigabitEthernet1/0/1] arp validate source-mac destination-mac
配置ARP报文合法性检查
使能ARP报文合法性检查功能,并指定ARP报文合法性检查时检查源MAC地址。
Huawei system-view
[Huawei] arp anti-attack packet-check sender-mac
配置ARP表项严格学习
指定接口的ARP表项严格学习功能。
Huawei system-view
[Huawei] interface vlanif 100
[Huawei-Vlanif100] arp learning strict force-enable
配置DHCP触发ARP学习
使能接口VLANIF100的DHCP触发ARP学习功能。
Huawei system-view
[Huawei] vlan batch 100
[Huawei] dhcp enable
[Huawei] interface vlanif 100
[Huawei-Vlanif100] arp learning dhcp-trigger
防ARP泛洪攻击
攻击行为
当网络中出现过多的ARP报文时,会导致网关设备CPU负载加重,影响设备正常处理用户的其它业务。另一方面,网络中过多的ARP报文会占用大量的网络带宽,引起网络堵塞,从而影响整个网络通信的正常运行。
安全策略
针对以上攻击行为,可以在路由器上配置如下安全策略。
ARP表项限制
设备基于接口限制学习ARP表项的总数目,可以有效地防止ARP表项溢出,保证ARP表项的安全性。
ARP速率抑制
设备对单位时间内收到的ARP报文进行数量统计,如果ARP报文的数量超过了配置的阈值,超出部分的ARP报文将被忽略,设备不作任何处理,有效防止ARP表项溢出。
ARP表项严格学习
设备仅学习本端发送的ARP请求报文的应答报文,并不学习其它设备向路由器发送的ARP请求报文和非本端发送的ARP请求报文的应答报文,可以拒绝掉ARP请求报文攻击和非自己发送的ARP请求报文对应的应答报文攻击。
ARP端口级防护
设备基于端口对ARP上送速率进行监控,当某端口ARP上送控制面报文速率超过特定阈值时,会将该端口的ARP报文通过单独通道上送控制面,避免攻击影响正常的ARP报文。此外,设备还支持将攻击端口的ARP报文阻塞一段时间,而不是通过单独的通道上送。
ARP用户级防护
设备对用户(基于MAC地址或者IP地址)上送控制面的ARP报文速率进行监控,当某用户ARP报文速率超过特定阈值时,会将该用户ARP报文丢弃一段时间。
配置方法
ARP表项限制
配置指定接口最多可以学习到的ARP表项数量。
Huawei system-view
[Huawei] interface vlanif 100
[Huawei-Vlanif100] arp-limit maximum 20
ARP速率抑制
对ARP报文采用基于源IP地址进行时间戳抑制,速率为每秒50个ARP报文。
Huawei system-view
[Huawei] arp speed-limit source-ip maximum 50
配置ARP表项严格学习
ARP表项严格学习既可以基于全局,也可以基于指定的接口配置,两者有如下的关系:
当全局和接口同时配置了ARP严格学习功能时,采用接口下配置的策略。
当接口下没有配置ARP严格学习功能时,采用全局下配置的ARP严格学习策略。
使能全局的ARP表项严格学习功能。
Huawei system-view
[Huawei] arp learning strict
使能指定接口的ARP表项严格学习功能。
Huawei system-view
[Huawei] interface vlanif 100
[Huawei-Vlanif100] arp learning strict force-enable
配置ARP端口级防护
ARP端口级防护默认开启,无需手工配置。此外,还可以配置ARP报文限速。
配置接口Eth2/0/0在1秒钟内最多允许50个ARP报文通过。
Huawei system-view
[Huawei] interface ethernet 2/0/0
[Huawei-Ethernet2/0/0] arp anti-attack rate-limit enable
[Huawei-Ethernet2/0/0] arp anti-attack rate-limit 50 1
配置ARP用户级防护
ARP用户级防护基于用户MAC地址或者IP地址进行。
Huawei system-view
[Huawei] cpu-defend policy antiatk
[Huawei-cpu-defend-policy-antiatk] auto-defend enable
[Huawei-cpu-defend-policy-antiatk] auto-defend threshold 30
[Huawei-cpu-defend-policy-antiatk] undo auto-defend trace-type source-portvlan
[Huawei-cpu-defend-policy-antiatk] undo auto-defend protocol tcp telnet ttl-expired igmp icmp dhcp
[Huawei-cpu-defend-policy-antiatk] auto-defend action deny timer 300
[Huawei-cpu-defend-policy-antiatk] quit
[Huawei] cpu-defend-policy antiatk
[Huawei] cpu-defend-policy antiatk
保持路由器和WIFI网络的最新更新,可以使您的网络更快、更稳定,并防止网络安全问题的出现。