ARP防御

通过使用ARP学习、MAC学习、ARP认证以及ARP检查功能，StoneOS能够很好的防御ARP欺骗攻击。该页面用来设置ARP防御功能。具体描述如下：

ARP端口监视配置

端口：显示端口名称。

ARP速率限制（个/秒）：指定端口每秒钟接收ARP包的个数。当每秒钟接收ARP包的个数超过该指定值时，系统将丢弃超出的ARP包。范围是0到10000。默认无速率限制。

状态：设置端口状态：

• 可信状态 - 端口被设置为可信状态后，通过该端口的数据包将不会受到ARP检查。
• 不可信状态 - 默认情况下，所有的端口都为不可信状态，通过不可信状态端口的数据包将受到ARP检查。

操作：点击该栏的『应用』按钮提交ARP端口监视配置。

ARP监控列表

接口：显示接口名称。

ARP学习：安全网关通过ARP学习过程获得内网中的IP-MAC的绑定信息，并将绑定信息添加到系统ARP表中。默认情况下，所有接口的ARP学习功能是开启的。选中前面的复选框开启所有接口的ARP学习功能。

• 启用 - 选中该复选框开启相应接口的ARP学习功能。

MAC学习：安全网关通过MAC学习过程获得内网中的MAC-端口绑定信息，并将其添加到系统MAC表中。默认情况下，安全网关的MAC学习功能是开启的。选中前面的复选框开启所有接口的MAC学习功能。

• 启用 - 选中该复选框开启相应接口的MAC学习功能。

ARP强制认证：ARP强制认证功能通过ARP客户端Hillstone Secure Defender来实现。安装Hillstone Secure Defender的PC在通过设备开启ARP认证功能的接口访问Internet时，会与Hillstone设备进行ARP认证，保证与PC相连的设备的MAC地址是可信的。选中前面的复选框开启所有接口的ARP强制认证功能。

• 启用 - 选中该复选框开启相应接口的ARP强制认证功能。

• 强制安装 - 强制通过接口访问外网的所有PC客户端安装ARP认证客户端Hillstone Secure Defender。不选此选项时，设备仅对安装有ARP认证客户端的PC进行认证。

ARP检查：BGroup接口、VSwitch接口以及VLAN支持接口的ARP端口监视功能。开启该功能后，系统会对通过接口的所有ARP包进行检查，将ARP包的IP地址与系统ARP表中的静态表项以及DHCP监控列表中的IP-MAC绑定表项进行对比。 选中前面的复选框开启所有接口的ARP检查功能，并对IP地址不在ARP表中的ARP包进行转发。

• 启用 - 选中该复选框开启相应接口的ARP检查功能。

• 转发 - 选择该单选按钮转发IP地址不在ARP表中的ARP包。
• 丢弃 - 选择该单选按钮丢弃IP地址不在ARP表中的ARP包。

确定：保存当前页面所做配置。