ARP防护说明

系统提供一系列功能进行ARP防护，保护网络免受各种ARP攻击。这些ARP防护功能包括：

• ARP学习：安全网关通过ARP学习过程获得内网中的IP-MAC的绑定信息，并将绑定信息添加到系统ARP表中。默认情况下，安全网关的ARP学习功能是开启的，安全网关会一直进行ARP学习，并将学到的IP-MAC绑定信息添加到系统ARP表中。在ARP学习过程中，如果IP或者MAC地址发生变化，安全网关会将更新的IP-MAC绑定信息添加到系统ARP表中。关闭ARP学习功能，只有已经在系统ARP表中的IP地址可以访问Internet。
• MAC学习：安全网关通过MAC学习过程获得内网中的MAC-端口绑定信息，并将其添加到系统MAC表中。默认情况下，安全网关的MAC学习功能是开启的，安全网关会一直进行MAC学习，并将学到的MAC-端口绑定信息添加到系统MAC表中。在MAC学习过程中，如果MAC地址或者端口发生变化，安全网关会将更新的MAC-端口绑定信息添加到MAC表中。
• IP-MAC-端口绑定：IP-MAC、MAC-端口以及IP-MAC-端口绑定后，与绑定列表中不一致的数据包将会被丢弃，保证系统免受ARP欺骗攻击或者MAC地址表攻击。结合ARP/MAC学习功能，实现“实时扫描+静态绑定”，使防护配置更加简单有效。
• ARP认证：ARP认证功能通过ARP客户端Secure Defender来实现。安装Secure Defender的PC在通过设备开启ARP认证功能的接口访问Internet时，会与Hillstone设备进行ARP认证，保证与PC相连的设备的MAC地址是可信的。
• DHCP监控：配置该功能后，系统将通过分析DHCP客户端与DHCP服务器之间的DHCP报文建立DHCP客户端的MAC地址和被分配的IP地址的对应关系。启动ARP检查功能后，系统将检查经过设备的ARP包是否与该表的内容匹配，如果不匹配则丢弃该ARP包。
• 主机防御：配置该功能后，设备能够代替不同主机发送免费ARP包，保护被代理主机免受ARP攻击。
• ARP检查：安全网关支持接口的ARP检查功能。开启该功能后，系统会对通过接口的所有ARP包进行检查，将ARP包的IP地址与系统ARP表中的静态表项以及DHCP监控列表中的IP-MAC绑定表项进行对比，根据对比结果对ARP包进行处理。