俠諾酒店用戶ARP病毒防制攻略

在酒店的網絡管理中， 通常的作法， 都會把客房的上網和內部辦公放在同一臺路由器下面。 這就面臨著安全問題， 特別是ARP病毒的攻擊。 Qno俠諾工程師在實際工作中， 總結出一套專門針對酒店行業用戶的解決辦法， 下面我們就向讀者介紹Qno俠諾在酒店行業ARP病毒防制的攻略手段。

　　由于ARP病毒變種太多， 傳播速度太快， 國內外的反病毒廠商都沒有很好的辦法來解決ARP病毒問題。 一般都是在內網主機和路由器之間建立雙向的ARP綁定來解決這個問題， 這也是目前看來最行之有效的解決方案。 但酒店不同于網吧， 隨著住宿客人的不斷更換， 酒店客房里的主機也是不斷變化的， 這就意味著遭遇ARP病毒風暴時， 不可能通過IP與MAC地址綁定的傳統方法解決此問題。 同時， 也很難讓住店的客人操作對路由器的ARP綁定， 從而導致酒店會經常接到客戶對上網速度慢或上不去網的一些投訴。 由于不能夠耽誤酒店的正常使用， 所以整個網絡也不能有太大改動。 鑒于酒店的特殊性， 針對Qno俠諾路由器酒店用戶， 提出以下解決方案：

　　1、激活防止ARP病毒攻擊功能， 防止病毒的侵入;

　　2、利用Qno俠諾路由器多子網功能， 加劃VLAN的方法， 減少攻擊損害的影響;

　　3、辦公區做MAC綁定， 設置訪問規則， 更完整保護辦公區計算機。

　　首先， 酒店客房通常是客人自備電腦入網， 大多數酒店采用DHCP技術給上網用戶動態分配IP地址。 在防火墻里面開啟防止ARP病毒攻擊， 這樣可以防止病毒的侵入。

　　激活防止ARP病毒攻擊功能。 輸入路由器IP地址登陸路由器的Web管理頁面， 進入"防火墻配置"的"基本頁面"， 再在右邊找到"防止ARP病毒攻擊"， 在進行"激活"。 系統默認"防ARP攻擊每秒發送20筆"， 建議設置為"2-5"筆， 以防止發送廣播包過多而造成網絡堵塞。 如圖1。

　　圖1: 激活防止ARP病毒攻擊

　　其次， 利用Qno俠諾路由器多子網功能， 加劃VLAN的方法， 對客房區和辦公區進行防ARP設置。 結構圖如圖2所示。

　　圖2: 劃分VLAN結構圖

　　把路由器設定兩個網段， 本身的網段給客房區客人用， 再利用多子網功能， 為辦公區設另一個網段內部辦公用。 在路由器下面接出來兩個交換機， 分別利用路由器的虛擬局域網功能劃出兩個VLAN， 劃分VLAN可根據LAN口的數量而定， 客房區應該盡可能多的劃分， 以減少客房相互間的影響。 如圖3所示。

　　圖3: 端口設置

　　此功能可以讓網管人員在自己的局域網內將每一個局域網端口設定1個或多個不同網段且無法互通的局域網端口， 但都可以通過路由器上網。 在同一個網段內的成員(在同一個VLAN局域網絡內)可互相溝通并看得到對方， 若不在同一個VLAN群組內的成員則無法得知其它成員的存在。

　　然后在防火墻設置里， 添加一條新訪問規則禁止客房區本身的網段訪問辦公區子網段。 這樣做是為了防止ARP， 使網絡更加安全。 如圖4所示。 如也需要限制辦公區子網段不能訪問客房區網段， 則需激活前面一條規則。

圖4:設置訪問規則

　　Qno俠諾路由器在MAC綁定功能頁面下方有兩個選項， 一個是"封鎖在對應列表中IP地址錯誤的MAC地址"， 另一個是"封鎖不在對應列表中的MAC地址"。 如圖5。

　　圖5: IP及MAC 地址綁定

　　大家知道要徹底的防止ARP病毒， 需要做雙向綁定， 但是客房是不能做綁定的， 因為客人天天變， 所以， 不勾選"封鎖不在對應列表中的MAC地址"。 但辦公區的網段是固定的， 我們可以綁定在路由器上， 并勾上"封鎖在對應列表中IP地址錯誤的MAC地址"， 那么設定為固定IP的計算機或通過此功能已發給特定IP的計算機擅自更改IP為非指定的IP地址時， 則會無法上網。 這樣， 一則可以防止其它人亂改IP跟內部沖突， 二則ARP病毒不會對辦公區產生影響。

　　如果內網發現ARP攻擊， 排除方法可參考Qno俠諾關于排除防制ARP攻擊的技術文章"ARP攻擊防制進階篇---俠諾科技ARP防制經驗談"。

　　以上方法基本可以解決ARP病毒攻擊對網絡造成相關問題， 這樣客人的又可以從DHCP分IP， 又不影響到酒店內部辦公。 避免了因辦公網絡癱瘓， 而造成大部分房客check ou時， 手拎大包小包無限時在等的情況。 ARP欺騙病毒在相當長的時間內還會繼續存在， 俠諾科技將不斷的為用戶提供各種解決方案， 幫助用戶打造一個安全穩定、高效的接入環境。