来源:安全中国

什么是ARP协议

　　ARP协议是“Address Resolution Protocol”（地址解析协议）的缩写。在局域网中，网络中实际传输的是“帧”，帧里面是有目标主机的MAC地址的。在以太网中，一个主机要和另一个主机进行直接通信，必须要知道目标主机的MAC地址。但这个目标MAC地址是如何获得的呢？它就是通过地址解析协议获得的。所谓“地址解析”就是主机在发送帧前将目标IP地址转换成目标MAC地址的过程。ARP协议的基本功能就是通过目标设备的IP地址，查询目标设备的MAC地址，以保证通信的顺利进行。

　　一、ARP 防火墙的原理

　　ARP 防火墙的原理其实很简单，就是不断高速地向网关发送本机的MAC地址和IP地址，以让路由器正确识别此电脑，为此电脑访问公网提供路由功能。很明显，在ARP 防火墙发送这些报文的时候，无形中也加重了路由器的负担；试想，如果一个局域网内的几十台电脑同时向路由器发送这些ARP报文，将会使得路由器会大量地收到这些报文，有可能造成路由器的瘫痪。所以依靠APR防火墙来防止ARP病毒，不是长久之计。

　　二、加重了本机的负担

　　由于被控制的电脑运行了ARP防火墙，会占用大量的CPU和内存资源，无形中也增加了这台电脑自身的负荷。为了防止局域网电脑可能中的一个概率很小的病毒，而长期运行一个对系统资源和路由器都有影响的软件，造成了资源的浪费和网络的负面影响。

　　三、不能真正防止APR防火墙

　　运行ARP防火墙就一定能防止APR欺骗么？进行ARP欺骗的原理，就是伪造一个并不存在的网关地址给被控制的电脑，被控制的电脑在收到伪造的ARP数据报后就更新自己的ARP缓存表，然后按照新的APR表中的地址发送数据报文。但是由于新的地址是错的，所以发送的数据报都被延迟或丢弃，所以被控制的电脑必然都上不了网了。所以固然可以通过ARP防火墙阻止一些ARP欺骗伪造的数据报文，但是局域网的电脑也可以将自己的MAC地址更改为和网关一样的MAC地址，这样被控制的所发的数据报文有很大一部分被发送到了伪造网关的电脑，所以被控制的电脑也会导致上不了网，所以防止ARP欺骗的成功性很低。

　　四、聚生网管系统可以真正防止ARP病毒

　　聚生网管可以真正地防止APR欺骗。聚生网管可以为局域网被控制电脑的设置安全通道：首先由于绑定了局域网电脑的IP-MAC绑定，从而有效地防止了局域网的电脑私自更改自己的IP地址，无论局域网的电脑更改IP还是MAC后，聚生网管则立即禁止其上网，除非他改回自己的被绑定的默认地址，所以就杜绝了局域网内的电脑私自更改IP或者MAC地址；其次，当局域网的电脑进行中了ARP病毒后，自己无法找到真正的网关地址，这时候聚生网管系统就会向被控制的电脑发送局域网真正网关的MAC地址，局域网内的电脑在收到聚生网管系统发送的正确的网关地址后，就会按照正确的地址发送报文，所以，在此过程中，聚生网管系统起着交通警察的作用，为局域网电脑访问公网提供安全保障。

　　五、聚生网管系统强大的隔离功能

　　对已经中了ARP病毒的电脑，聚生网管系统可以将其进行双重隔离，从而可以阻止其对因特网和局域网的访问；被隔离的电脑将无法再继续发送伪造的ARP报文，从而无法对其他电脑造成影响，保证了局域网的安全。