编者按：注射甲肝疫苗是大家都要做的事，那么，当ARP病毒已经成为网络界公认的攻击危害时，注射ARP疫苗似乎已经理所当然了。

    【IT168 专稿】ARP专家会诊概要：  
    为了确保每台接入网络的PC都具备最新的病毒防护能力，您必须注射疫苗： 
     1、确保每台接入网络的PC都是合法用户
      802.1x认证 Portal认证  
     2、确保每台PC中的病毒库和系统补丁最新
      和病毒库、补丁库联动；定时检查与同步
      和网络设备联动，病毒和补丁不是最新，将被隔离
      设置针对性手段，抵抗ARP病毒的洪泛攻击。

    保护网络设备不受ARP泛洪攻击？

    某些ARP病毒的攻击思路就是简单粗暴，像洪水泛滥一样对PC终端或网络设备发ARP报文，通过大量消耗被攻击对象的网络带宽和CPU处理能力达到攻击目的。对这类攻击，攻击源是比较容易定位和隔离查杀的，主要是能在ARP报文经过的各个环节实施探测，出现异常时就临时关闭该端口，缩小攻击范围和网络故障时间。

    例如：H3C低端接入交换机就可做到开启某个端口的ARP报文限速功能后，交换机对每秒内该端口接收的ARP报文数量进行统计，如果每秒收到的ARP报文数量超过设定值，则认为该端口处于超速状态（即受到ARP报文攻击）。此时，交换机将关闭该端口，使其不再接收任何报文，从而避免大量ARP报文攻击设备。同时，设备支持配置端口状态自动恢复功能，对于配置了ARP限速功能的端口，在其因超速而被交换机关闭后，经过一段时间可以自动恢复为开启状态。

    同样，在H3C的核心交换机和路由器网关系列产品中也都支持相应功能。

   如何预防网络感染未知病毒？

     
    可以说通过切断传播途径是能够彻底地控制ARP病毒的，但对未知病毒又该如何应对？安装防病毒软件和防火墙是必要的，但更重要的是要保证病毒库和操作系统补丁的即时升级。而单纯依赖每个PC终端的主动性是不可靠的，而且，如何接入网络的PC终端本身就是非法用户的话，问题就更大了。

    针对与此，H3C端点接入防御解决方案(EAD，Endpoint Admission Defense)提供了一个全新的安全防御体系，将病毒防御功能和网络接入控制相融合，加强了对用户终端的集中管理，提高了网络终端的主动抵抗能力。EAD方案通过在每台PC机上的安全客户端、网络内部署的安全策略服务器、接入网络设备和防病毒软件直接实现联动，可以将不符合安全要求的终端限制在"隔离区"内，防止"危险"终端对网络安全的损害，避免"易感"终端收到病毒、蠕虫的攻击，从而大幅度提升了网络抵御未知病毒的能力。