正在阅读：轻松实现企业上网行为管理 飞鱼星VE982评测轻松实现企业上网行为管理 飞鱼星VE982评测

　　网络安全

VE982“网络攻击防御”配置页面

　　ARP欺骗问题，根源其实是TCP/IP协议设计上的缺陷所致，坦白说并没有一个严格意义上的解决方法，在这方面各厂家也都拥有自己的技术，VE982使用的ARP防欺骗机制是通过发送广播包来实现的，下图是使用Wireshark抓到的广播包，VE982持续的向局域网内发送着ARP包，通过这种方式不停刷新客户机上ARP缓存中的IP MAC对应表来达到抵制ARP欺骗的目的。

　　ICMP-FLOOD攻击防御测试时，饭盒将ICMP-FLOOD域值设置为每秒50包，随后使用kn-ping向VE982发送ICMP包，KN-PING这个工具有一个“特性”，就是当被攻击目标成功拦截过量的ICMP数据包时，KN-PING会报错，这证明ICMP-FLOOD防御是有效的，相应的事件记录在日志中也可以看到。

　　UDP-FLOOD攻击测试时，饭盒将ICMP-FLOOD域值设置为每秒200包，测试时饭盒将UDP测试工具设置为每秒发送250个UDP包，其实单一客户端这一发包频率是远达不到DoS效果的，我们为的只是看出VE982对UDP-FLOOD的拦截效果，如上图日志所示，拦截是有效的。

　　SYN-FLOOD攻击防御功能可以通过IxChariot来验证，方法是在IxChariot中同时启动大量脚本，此时将SYN-FLOOD域值设为一个较低的值，例如使用默认值每秒50包，在安全策略中只启用SYN-FLOOD防御功能，此时IxChariot测试是无法进行的，将安全策略禁用后，IxChariot可顺利完成。如上图是功能验证过程中产生的日志记录。

　　“连拉数限制”页面，VE982除了提供有基本的连接数限制功能，还提供了“高级连接数限制”功能。所谓高级连接数限制功能是一种弹性的连接数管理策略，可以在启用连接数限制的情况下对特殊应用连接不进行限制，如ICMP，CS刷新服务器的瞬间大量连接，建议启用该功能。本页面设置的数值为全局默认的最大连接数，您可以通过规则列表来针对特殊IP主机设置不同的连接限制数量。

　　启用ARP信任检测功能，路由器将会自动学习内网IP主机的ARP信息并记录可信任的ARP信息，可以在路由器不绑定IPMAC情况下有效的防止内网ARP病毒。启用ARP超时机制，路由器将定期对内网IP主机ARP信息进行重新学习。

　　QoS流量控制，本功能可对内网每个IP或者网段进行带宽限制。可以有效地防止P2P应用过渡消耗带宽资源。您启用流量控制后，您可以选择是否启用优先级流控和分接口的流控功能，分接口流控，可以针对不同WAN口配置不同的流控规则；优先级流控，可以对设置的优先数据在流控情况下优先传送。