缺省情况下透明防火墙开启ARP学习功能。（）

ARP(Address Resolution Protocol)是地址解析协议，是一种将IP地址转化成物理地址的协议。从IP地址到物理地址的映射有两种方式：表格方式和非表格方式。ARP具体说来就是将网络层(IP层，也就是相当于OSI的第三层)地址解析为数据连接层(MAC层，也就是相当于OSI的第二层)的MAC地址。

ARP原理：某机器A要向主机B发送报文，会查询本地的ARP缓存表，找到B的IP地址对应的MAC地址后，就会进行数据传输。如果未找到，则A广播一个ARP请求报文(携带主机A的IP地址Ia——物理地址Pa)，请求IP地址为Ib的主机B回答物理地址Pb。网上所有主机包括B都收到ARP请求，但只有主机B识别自己的IP地址，于是向A主机发回一个ARP响应报文。其中就包含有B的MAC地址，A接收到B的应答后，就会更新本地的ARP缓存。接着使用这个MAC地址发送数据(由网卡附加MAC地址)。因此，本地高速缓存的这个ARP表是本地网络流通的基础，而且这个缓存是动态的。

ARP攻击具体体现为如下现象：

1、网络是否经常断线，经常发生IP冲突

2、通讯数据受到监控(如MSN、QQ、EMAIL)

3、服务器是否经常遭受ARP欺骗，被黑客植入木马

以上各种问题的根源都是ARP欺骗(ARP攻击)。在没有ARP欺骗之前，数据流向是这样的：网关<->本机。ARP欺骗之后，数据流向是这样的：网关<->攻击者(“网管”)<->本机，本机与网关之间的所有通讯数据都将流经攻击者(“网管”)，所以“任人宰割”就在所难免了。

那么 360ARP防火墙能阻止上面的攻击吗?

360ARP防火墙通过在系统内核层拦截ARP攻击数据包，确保网关正确的MAC地址不被篡改，可以保障数据流向正确，不经过第三者，从而保证通讯数据安全、保证网络畅通、保证通讯数据不受第三者控制，完美的解决局域网内ARP攻击问题。

1、内核层双向拦截本机和外部ARP攻击，及时查杀ARP木马

在系统内核层直接拦截本机和外部的全部ARP攻击，并提供本机ARP木马病毒准确追踪和及时查杀，保持网络畅通及通讯安全。采用内核拦截技术，本机运行速度不受任何影响。

2、 精准追踪攻击源IP，方便网管及时查询攻击源

拦截到外部ARP攻击后，可通过拦截界面“追踪攻击源IP”来精准定位局域网内攻击源，方便网管及时查询

局域网内攻击源，及时解决问题。

3、拦截DNS欺骗、网关欺骗、IP冲突等多种攻击

具有拦截DNS欺骗，IP冲突攻击等多种形式的攻击功能，且多方位拦截，全面解决局域网内频繁掉线问题。

4、可自定义本机进程白名单

使用360ARP防火墙，用户可自定义进程白名单，网络访问更安全。

360ARP防火墙可以很好的解决局域网ARP攻击，如果不是局域网用户，可以关闭这项功能。

防止arp攻击
arp是地址解析协议，用于把网卡MAC地址与IP地址对应，arp攻击就是把网关地址转移或造成假地址欺骗，导致上网路径发生变动，从而上不了网
arp防火墙的作用就是把你的MAC地址和网关IP绑定，避免被欺骗变化网络环境，从而可以稳定的上网！

　　ARP欺骗

　　其实，此起彼伏的瞬间掉线或大面积的断网大都是ARP欺骗在作怪。ARP欺骗攻击已经成了破坏网吧经营的罪魁祸首，是网吧老板和网管员的心腹大患。

　　从影响网络连接通畅的方式来看，ARP欺骗分为二种，一种是对路由器ARP表的欺骗；另一种是对内网PC的网关欺骗。

　　第一种ARP欺骗的原理是--截获网关数据。它通知路由器一系列错误的内网MAC地址，并按照一定的频率不断进行，使真实的地址信息无法通过更新保存在路由器中，结果路由器的所有数据只能发送给错误的MAC地址，造成正常PC无法收到信息。第二种ARP欺骗的原理是--伪造网关。它的原理是建立假网关，让被它欺骗的PC向假网关发数据，而不是通过正常的路由器途径上网。在PC看来，就是上不了网了，"网络掉线了"。

　　一般来说，ARP欺骗攻击的后果非常严重，大多数情况下会造成大面积掉线。有些网管员对此不甚了解，出现故障时，认为PC没有问题，交换机没掉线的"本事"，电信也不承认宽带故障。而且如果第一种ARP欺骗发生时，只要重启路由器，网络就能全面恢复，那问题一定是在路由器了。为此，宽带路由器背了不少 "黑锅"。

　　作为网吧路由器的厂家，对防范ARP欺骗不得已做了不少份内、份外的工作。一、在宽带路由器中把所有PC的IP-MAC输入到一个静态表中，这叫路由器 IP-MAC绑定。二、力劝网管员在内网所有PC上设置网关的静态ARP信息，这叫PC机IP-MAC绑定。一般厂家要求两个工作都要做，称其为IP- MAC双向绑定。

　　360ARP防火墙是防这个用的