网络控制器NAC

信锐新一代网络控制器是信锐技术自主研发的多元化、高性能的网络控制器设备,集信锐新一代网络控制器、认证服务器、内网终端状态可视化分析、上网行为管理、上网行为审计、流量控制、VPN、防火墙、有线无线管理系统。 结合AI运维技术,极大程度的提升网络运维效率!
NAC3.13.0-3.14.0
网络控制器NAC 文档 功能配置 安全配置 无线ARP防御配置指导
{{sendMatomoQuery("网络控制器NAC","无线ARP防御配置指导")}}

无线ARP防御配置指导

更新时间:2024-07-01

1功能简介

1.1应用场景

1、攻击者通过伪造ARP报文,截获原本发向网关的报文,对网络安全构成威胁。网关欺骗防御支持将网关macip绑定,可以有效遏制这种攻击。开启此功能后,手动添加的网关和智能识别的网关会被默认保护起来。

2、用户隔离:由于无线用户的流动性和不确定性,在某些场合(特别是在公共场合),用户信息的私密性显得尤为重要,需要限制用户之间直接访问。用户隔离在不影响用户正常上网的情况下对用户之间进行隔离,使之不能互访,保证了用户业务的安全。

1.2适用版本

NAC3.13.0

1.3配置思路

1、配置网关智能识别以及网关欺骗防御

2、配置用户隔离

2注意事项

2.1业务影响范围

配置无线ARP防御功能期间,配置网关IPmac地址信息错误时,会导致终端断网,请在业务空间期间配置。

2.2配置注意事项

本地转发配置无线ARP防御,集中转发配置控制器ARP防御

3配置步骤

3.1配置网关智能识别以及网关欺骗防御

(适用无线本地转发,集中转发参考控制器ARP防御)

1、【安全配置】-【流量安全】-【流量劫持防御】-ARP防御】-【无线ARP防御】新增无线ARP防御,勾选网关欺骗防御,添加网关的IPmac地址关系。

2、在【高级选项】设置是否将可疑的网关拉黑,默认关闭,可以不开启。启用后,冻结时间支持设置最小1秒,最大24小时。

3.2配置用户隔离(适用无线本地转发)

1、【安全配置】-【流量安全】-【流量劫持防御】-ARP防御】-【无线ARP防御】新增策略,并开启用户隔离并输入隔离vlan的网关mac地址,设置不隔离的vlan id

4效果演示

1、配置网关智能识别以及网关欺骗防御之后,系统检测到和设定网关IP一样,但是mac地址不匹配的终端拉黑,在日志查看的安全日志产生告警,在终端安全的终端黑名单可以看到冻结原因为”ARP欺骗攻击

2、配置用户隔离之后可以限制同vlan的用户互访,提高无线网络安全性。192.168.40.1040.11为一起连接同一个无线的终端,在开启用户隔离前可以相互ping通,开启用户隔离后,              无法相互ping

开通用户隔离前:

IMG_256

开启用户隔离后:

dd21e8b8c9892aa453c1506a1bf868c5