安全控制介绍

Hillstone SA 系列安全网关具有强大的安全保护功能，例如，攻击防护、IP-MAC绑定、会话控制以及URL 过滤等。

♦ 主机防御
♦ IP-MAC 绑定
♦ Profile 配置
♦ URL 过滤

主机防御

SA 系列安全网关的主机防御功能即安全网关代替不同主机发送免费ARP 包，保护被代理主机免受ARP 攻击。

配置多条该命令代理多台主机发送免费ARP 包。安全网关最多可代理16 台主机发送免费ARP 包。

IP-MAC 绑定

为加强网络安全控制，SA 系列安全网关支持IP-MAC 地址绑定、MAC-端口绑定以及IP-MAC-端口绑定。这些绑定信息分为静态和动态两种。通过ARP 学习功能、ARP 扫描功能以及MAC 学习功能获得绑定信息为动态绑定信息；而手工配置的绑定信息为静态信息。同时，SA 系列安全网关还具有ARP 检查功能。

IP-MAC 绑定

为加强网络安全控制，SA 系列安全网关支持IP-MAC 地址绑定、MAC-端口绑定以及IP-MAC-端口绑定。这些绑定信息分为静态和动态两种。通过ARP 学习功能、ARP 扫描功能以及MAC 学习功能获得绑定信息为动态绑定信息；而手工配置的绑定信息为静态信息。同时，SA 系列安全网关还具有ARP 检查功能。

静态绑定

用户可以添加静态IP-MAC 绑定条目和MAC-端口绑定条目。

用户可以手动出入IP地址与MAC地址绑定，也可以对某一段IP进行ARP扫描进行绑定，还可以导入或到处IP-MAC绑定列表。

动态IP-MAC-端口绑定

SA 系列安全网关可以通过以下两种方式获得动态IP-MAC-端口绑定信息：

♦ ARP 学习功能
♦ MAC 学习功能

ARP 学习功能

安全网关通过ARP 学习过程获得内网中的IP-MAC 的绑定信息，并将绑定信息添加到系统ARP 表中。默认情况下，安全网关的ARP 学习功能是开启的，安全网关会一直进行ARP 学习，并将学到的IP-MAC 绑定信息添加到系统ARP 表中。在ARP学习过程中，如果IP 或者MAC 地址发生变化，安全网关会将更新的IP-MAC 绑定信息添加到系统ARP 表中。关闭ARP 学习功能，只有已经在系统ARP 表中的IP 地址可以访问Internet。

MAC 学习功能

安全网关通过MAC 学习过程获得内网中的MAC-端口绑定信息，并将其添加到系统MAC 表中。默认情况下，安全网关的MAC 学习功能是开启的，安全网关会一直进行MAC 学习，并将学到的MAC-端口绑定信息添加到系统MAC 表中。在MAC学习过程中，如果MAC 地址或者端口发生变化，安全网关会将更新的MAC-端口绑定信息添加到MAC 表中。

强制绑定动态MAC-端口绑定信息

用户可以将系统通过MAC 学习得到的动态MAC-端口绑定信息进行强制绑定。

ARP 检查功能

SA 系列安全网关支持接口的ARP 检查功能。开启该功能后，系统会对通过接口的所有ARP 包进行检查，将ARP 包的IP 地址与系统ARP 表中的静态表项进行对比：

♦ 如果IP 地址在ARP 表中，并且与表中记录的MAC 地址相同，则继续转发该ARP 包；
♦ 如果IP 地址在ARP 表中，但是与表中记录的MAC 地址不一致，系统将丢弃该ARP 包；
♦ 如果IP 地址不在ARP 表中，则根据配置进行转发或者丢弃。

ARP 防御

通过使用ARP 学习、MAC 学习、ARP 认证以及ARP 检查功能，StoneOS 能够很好的防御ARP 欺骗攻击。并且，StoneOS 能够对ARP 欺骗攻击进行统计。