最近，互联网上越来越多ARP欺骗的病毒泛滥，使企业用户和网吧的网络管理员饱受ARP病毒欺骗之苦，ARP欺骗是利用局域网内PC和路由器的ARP Cache的漏洞，中了ARP欺骗病毒的主机通过发出大量的虚假的ARP信息来欺骗PC机或路由器，使PC机或路由器的ARP列表出错，导入局域网内的PC出现丢线的现象，严重的可以使到整个局域网的PC出现大面积的丢线，严重影响网吧或企业网络的上网。

ARP欺骗分为二种，一种是对路由器ARP表的欺骗；另一种是对内网PC的网关欺骗。第一种ARP欺骗的原理是——截获网关数据。它通知路由器一系列错误的内网MAC地址，并按照一定的频率不断进行，使真实的地址信息无法通过更新保存在路由器中，结果路由器的所有数据只能发送给错误的MAC地址，造成正常PC无法收到信息。第二种ARP欺骗的原理是——伪造网关。它的原理是建立假网关，让被它欺骗的PC向假网关发数据，而不是通过正常的路由器途径上网。

针对ARP欺骗的情况，FR538G防火墙提供了全面的解决方案。

第一种类ARP欺骗类型，即：对路由器ARP表的欺骗，该ARP欺骗类型的目的就是使路由器获取了错误的的PC的MAC 地址，当一个数据包从局域网发出，经路由器至Internet的某台服务器后，该服务器发回来的响应数据包经路由器时，因为得到了PC错误MAC地址，使响应数据包无办法回到正确的PC上，从而导致出现丢线现象，解决该问题，只需路由器支持IP/MAC地址，使ARP欺骗病毒的错误信息无办法影响到路由器的ARP列表即可。

FR538G支持IP/MAC 地址绑定，具体设置需进到FR538G的管理界面：Security>IP/MAC Binding选项，如下图所示：

1）. 启用 IP/MAC 绑定功能：
Do you want to enable IP/MAC Binding ? 选中“Yes”，并点Apply即可。

2）. 扫描可绑定的PC的IP/MAC信息：
按一下refresh按钮：，FR538G开始在局域网进行扫描，当扫描完成后，会显示如下图所示：



注：当你的网络经过三层交换或路由连接到FR538G时，FR538G将不能扫描不是直接连接的网段，也不能进行有效的IP/MAC绑定。

3）. Enable需绑定的IP/MAC地址：

选中要绑定的IP/MAC地址，并点击绿色按钮enable即可。有时因为局域网内有部分PC未开启，所以FR538G无办法进行有效的扫描，因此，当这些PC机开启后，我们只需重新按一下refresh按钮重新扫描即可。

注意：在设置IP/MAC绑定时，需首先把FR538G的DHCP Server关闭。

第二种是对内网PC的网关欺骗，即欺骗局域网的PC，使他们无法获得正确的路由器的IP地址及MAC地址等信息，从而使PC无法通过正确的网关出Internet,解决该问题的方法有两种：

第一种设置的办法就是我们常说的双向绑定的方法，即除了上述所说的在FR538G设置IP/MAC地址的绑定外，我们需在单台PC上进行绑定正确的路由器的IP/MAC地址即可。

1）. 进入管理菜单Monitoring>Router Status，查看FR538G的LAN 口的IP和MAC地址，如下图所示：

2）. 编写一个批处理文件xxx.bat内容如下；

@echo off
arp -d
arp -s 192.168.1.254 00:11:22:33:44:43

刚才我们已经查看了FR538G正确的IP/MAC地址信息，现在，我们把该IP/MAC 地址添加到在批处理文件中保存，并将该批处理文件拖到“windows--开始--程序--启动”中，如果是网吧，可以利用收费软件服务端程序(如pubwin或万象等软件)发送批处理文件xxx.bat到所有客户机的启动目录。

这样，我们即完成了双向绑定的设置，从而有效地防止ARP欺骗病毒。

另外，如果在实际环境中不方便对每一台PC进行单向绑定，我们可以采用第二种防御方法，即启用FR538G的Arp Attack Prevention功能。该功能启用后，FR538G将主动发布正确的ARP信息，确保下面的电脑接到正确的ARP信息，防止出现被中毒的PC发布的错误网关信息影响，使局域网内的PC均获得正确的路由器的IP/MAC信息。

具体设置需进到Security>IP/MAC Binding选项，如下图所示：

在Arp Attack Prevention选项中提示：do you want to enable Arp Attack Prevention?选中Yes，Refresh Interval默认值为100ms即可，点击Apply即立即生效。

通过以上的设置，各企业用户及网吧用户，将不再担心ARP欺骗病毒引起的丢线问题，确保局域网的用户实现24*7小时的Internet访问服务。