俠諾酒店用戶ARP病毒防制攻略

在酒店的網(wǎng)絡(luò)管理中， 通常的作法， 都會把客房的上網(wǎng)和內(nèi)部辦公放在同一臺路由器下面。 這就面臨著安全問題， 特別是ARP病毒的攻擊。 Qno俠諾工程師在實際工作中， 總結(jié)出一套專門針對酒店行業(yè)用戶的解決辦法， 下面我們就向讀者介紹Qno俠諾在酒店行業(yè)ARP病毒防制的攻略手段。

　　由于ARP病毒變種太多， 傳播速度太快， 國內(nèi)外的反病毒廠商都沒有很好的辦法來解決ARP病毒問題。 一般都是在內(nèi)網(wǎng)主機(jī)和路由器之間建立雙向的ARP綁定來解決這個問題， 這也是目前看來最行之有效的解決方案。 但酒店不同于網(wǎng)吧， 隨著住宿客人的不斷更換， 酒店客房里的主機(jī)也是不斷變化的， 這就意味著遭遇ARP病毒風(fēng)暴時， 不可能通過IP與MAC地址綁定的傳統(tǒng)方法解決此問題。 同時， 也很難讓住店的客人操作對路由器的ARP綁定， 從而導(dǎo)致酒店會經(jīng)常接到客戶對上網(wǎng)速度慢或上不去網(wǎng)的一些投訴。 由于不能夠耽誤酒店的正常使用， 所以整個網(wǎng)絡(luò)也不能有太大改動。 鑒于酒店的特殊性， 針對Qno俠諾路由器酒店用戶， 提出以下解決方案：

　　1、激活防止ARP病毒攻擊功能， 防止病毒的侵入;

　　2、利用Qno俠諾路由器多子網(wǎng)功能， 加劃VLAN的方法， 減少攻擊損害的影響;

　　3、辦公區(qū)做MAC綁定， 設(shè)置訪問規(guī)則， 更完整保護(hù)辦公區(qū)計算機(jī)。

　　首先， 酒店客房通常是客人自備電腦入網(wǎng)， 大多數(shù)酒店采用DHCP技術(shù)給上網(wǎng)用戶動態(tài)分配IP地址。 在防火墻里面開啟防止ARP病毒攻擊， 這樣可以防止病毒的侵入。

　　激活防止ARP病毒攻擊功能。 輸入路由器IP地址登陸路由器的Web管理頁面， 進(jìn)入"防火墻配置"的"基本頁面"， 再在右邊找到"防止ARP病毒攻擊"， 在進(jìn)行"激活"。 系統(tǒng)默認(rèn)"防ARP攻擊每秒發(fā)送20筆"， 建議設(shè)置為"2-5"筆， 以防止發(fā)送廣播包過多而造成網(wǎng)絡(luò)堵塞。 如圖1。

　　圖1: 激活防止ARP病毒攻擊

　　其次， 利用Qno俠諾路由器多子網(wǎng)功能， 加劃VLAN的方法， 對客房區(qū)和辦公區(qū)進(jìn)行防ARP設(shè)置。 結(jié)構(gòu)圖如圖2所示。

　　圖2: 劃分VLAN結(jié)構(gòu)圖

　　把路由器設(shè)定兩個網(wǎng)段， 本身的網(wǎng)段給客房區(qū)客人用， 再利用多子網(wǎng)功能， 為辦公區(qū)設(shè)另一個網(wǎng)段內(nèi)部辦公用。 在路由器下面接出來兩個交換機(jī)， 分別利用路由器的虛擬局域網(wǎng)功能劃出兩個VLAN， 劃分VLAN可根據(jù)LAN口的數(shù)量而定， 客房區(qū)應(yīng)該盡可能多的劃分， 以減少客房相互間的影響。 如圖3所示。

　　圖3: 端口設(shè)置

　　此功能可以讓網(wǎng)管人員在自己的局域網(wǎng)內(nèi)將每一個局域網(wǎng)端口設(shè)定1個或多個不同網(wǎng)段且無法互通的局域網(wǎng)端口， 但都可以通過路由器上網(wǎng)。 在同一個網(wǎng)段內(nèi)的成員(在同一個VLAN局域網(wǎng)絡(luò)內(nèi))可互相溝通并看得到對方， 若不在同一個VLAN群組內(nèi)的成員則無法得知其它成員的存在。

　　然后在防火墻設(shè)置里， 添加一條新訪問規(guī)則禁止客房區(qū)本身的網(wǎng)段訪問辦公區(qū)子網(wǎng)段。 這樣做是為了防止ARP， 使網(wǎng)絡(luò)更加安全。 如圖4所示。 如也需要限制辦公區(qū)子網(wǎng)段不能訪問客房區(qū)網(wǎng)段， 則需激活前面一條規(guī)則。

圖4:設(shè)置訪問規(guī)則

　　Qno俠諾路由器在MAC綁定功能頁面下方有兩個選項， 一個是"封鎖在對應(yīng)列表中IP地址錯誤的MAC地址"， 另一個是"封鎖不在對應(yīng)列表中的MAC地址"。 如圖5。

　　圖5: IP及MAC 地址綁定

　　大家知道要徹底的防止ARP病毒， 需要做雙向綁定， 但是客房是不能做綁定的， 因為客人天天變， 所以， 不勾選"封鎖不在對應(yīng)列表中的MAC地址"。 但辦公區(qū)的網(wǎng)段是固定的， 我們可以綁定在路由器上， 并勾上"封鎖在對應(yīng)列表中IP地址錯誤的MAC地址"， 那么設(shè)定為固定IP的計算機(jī)或通過此功能已發(fā)給特定IP的計算機(jī)擅自更改IP為非指定的IP地址時， 則會無法上網(wǎng)。 這樣， 一則可以防止其它人亂改IP跟內(nèi)部沖突， 二則ARP病毒不會對辦公區(qū)產(chǎn)生影響。

　　如果內(nèi)網(wǎng)發(fā)現(xiàn)ARP攻擊， 排除方法可參考Qno俠諾關(guān)于排除防制ARP攻擊的技術(shù)文章"ARP攻擊防制進(jìn)階篇---俠諾科技ARP防制經(jīng)驗談"。

　　以上方法基本可以解決ARP病毒攻擊對網(wǎng)絡(luò)造成相關(guān)問題， 這樣客人的又可以從DHCP分IP， 又不影響到酒店內(nèi)部辦公。 避免了因辦公網(wǎng)絡(luò)癱瘓， 而造成大部分房客check ou時， 手拎大包小包無限時在等的情況。 ARP欺騙病毒在相當(dāng)長的時間內(nèi)還會繼續(xù)存在， 俠諾科技將不斷的為用戶提供各種解決方案， 幫助用戶打造一個安全穩(wěn)定、高效的接入環(huán)境。