网络准入技术探索（一）：ARP准入技术解析

=====================================================================================================================================================================================

前言

我国已建成规模宏大、覆盖全国的信息网络，其中包括国家重要信息网络和信息系统，这些已成为支撑国民经济和社会发展的重要基础设施。然而，这些单位的网络和信息系统存在着一定的安全隐患和漏洞，为来自各方面的威胁入侵提供了可乘之机。

《信息安全技术网络安全等级保护》明确指出必须对内部网络采取安全管理、准入控制管理、非法外联控制、身份认证、安全审计管理、介质管理、资产管理等相关措施。

本文将重点探讨网络准入技术的发展情况，并聚焦于ARP准入控制这一技术原理，详解其在当前网络环境下的应用场景。

图1 等保2.0对于内网安全的要求

常见的网络准入技术

网络准入系统是当前终端准入控制的有效手段之一，网络准入系统主要有着PBR、SPAN、DHCP、ARP、VG、802.1x等准入控制技术，以实现不同的终端设备接入网络的控制效果，以上每种技术的适用场景、控制范围、网络前提条件各有不同。

图2 几种主流网络准入技术

ARP准入控制技术解析

1. ARP协议基础

地址解析协议（Address Resolution Protocol, ARP）是网络通信的基础协议之一，负责将网络层的IP地址转换为数据链路层的MAC地址。在局域网中，每台设备发送数据前，都会先查询目标IP对应的MAC地址，这一过程称为ARP请求与响应。

图3 ARP协议报文交互原理

2. ARP准入控制原理

ARP准入技术指的是采用ARP欺骗方式使未认证终端无法访问网络。ARP协议可以使终端通过广播以获取网关MAC地址，同时也可以使网关设备获取终端MAC地址。未认证终端发送ARP广播时，威努特NAC准入系统则会向终端和网关同时发送欺骗报文，使终端将威努特NAC准入系统的MAC地址记录为网关MAC地址，使网关设备将威努特NAC准入系统的MAC地址记录为终端MAC地址。由此，终端上行流量会发送至准入设备从而达到数据管控效果。

图4 ARP协议报文交互示例

ARP准入控制技术利用了ARP协议的工作机制，通过对ARP请求和响应过程的干预，实现对网络接入设备的认证和授权。其基本流程如下：

**● 设备检测：**当新设备尝试接入网络时，网络准入控制系统首先通过监听ARP请求和响应，识别该设备的存在。

**● 身份验证：**系统向接入设备发送认证请求，要求设备提供身份凭证，如用户名和密码、证书或预共享密钥。

**● 策略执行：**根据验证结果，系统决定是否允许设备接入，并应用相应的网络访问策略，如限制访问特定资源、强制执行安全更新或隔离不合规设备。

3. ARP准入技术优劣势分析

ARP准入技术是作为一种常见的网络控制手段，主要用于局域网中通过管理IP到MAC地址的映射来控制设备的网络接入。

优势：

**● 技术简单：**ARP技术的实现原理简单，不需要复杂的网络架构改动，易于管理员进行理解和部署。

**● 部署成本低：**相较于其他准入控制技术如802.1x，ARP准入控制技术的实施成本较低，因为它依赖于现有网络基础设施，无需对现有的网络进行大幅度的改动。

**● 快速响应：**ARP通过快速的广播和应答机制识别并响应网络中的设备变化，对于新接入设备的检测和响应速度较快。

**● 兼容性强：**几乎所有的网络设备都支持ARP协议，因此该技术具有良好的兼容性，适用于多种网络环境。

劣势：

**● 容易被攻击：**ARP本身存在安全风险，如ARP欺骗和中间人攻击，恶意用户可以伪造ARP响应，误导数据流向，这可能被利用来绕过准入控制或进行其他恶意活动。

**● 适用范围受限：**ARP技术为二层网络技术，其对应的ARP准入控制技术仅限于二层网络的终端准入控制，对于三层网络无法有效管控。

**● 控制粒度粗：**ARP准入控制通常针对整个网段，难以实现精细化的用户或设备级别控制，相较于802.1x等技术，对终端管控的颗粒度较差。

**● 功能局限性高：**ARP主要用于IP到MAC的映射，缺乏身份验证和授权功能，不能提供基于用户身份的网络访问控制。

ARP准入控制技术主要应用场景

根据不同网络环境下终端设备和网络设备部署的差异，采用不同的准入控制技术或多种网络控制技术混合的方式找到针对不同网络准入场景的最优方案。

图5 不同网络准入技术的差异

根据ARP准入控制技术的主要技术原理和其功能特点，ARP准入技术更适用于中小型网络场景下，对于既有网络的改造程度低，重点在于内网新接入的设备的准入管理的场景。

典型场景举例

针对企业交换网静态 IP环境，在核心交换机旁路部署威努特网络准入控制系统，在技术方案上，推荐 VARP+SNMP 混合的准入技术。不依赖网络设备环境，可以对不可网管的HUB级设备进行管理；拥有多级指纹绑定机制智能鉴别仿冒终端；提供特色的终端类型识别功能，实现网络层的终端准入管理。

图6 交换网+静态IP典型部署

威努特VARP准入控制技术特点

威努特在基础ARP准入技术的基础上，针对ARP准入的功能的弊端进行了优化，不仅强化了安全性，有效抵御网络风暴，更引入了多维度用户身份验证，让准入控制更加智能与安全。

同时，威努特独特的准入控制技术支持对合法入网设备建立授信画像，同时可以针对特殊设备和服务器设置白名单放行，白名单设备访问特定服务器地址不进行网络阻断处理。支持无客户端模式下终端注册，通过页面引导填写注册信息，支持管理员审批/自动审批入网。

图7 威努特NAC网络准入系统ARP准入配置界面

结语

随着网络环境的不断演变，网络准入控制技术正扮演着越来越重要的角色。它不仅是一种技术手段，更是实现网络治理现代化、提升企业安全防御能力的关键策略。面对未来更加复杂多变的网络安全挑战，持续优化和创新网络准入技术，将是保障数字经济健康发展的重要途径。

威努特NAC系列网络准入系统，以其“无需改变网络、终端部署灵活”的独特优势，作为一个高效的网络准入平台，能够与用户现有的交换机、杀毒软件、AD域、LDAP服务器等资产无缝集成。通过实施“入网-在网-出网”的整体化流程管理，该系统确保了“违规不入网、入网必合规”的严格规范，从而成为内网安全防护的得力助手。

图8 威努特NAC系列网络准入系统主要功能

渠道合作咨询   田先生 15611262709

稿件合作   微信:shushu12121