ANYVIEW(网络警)网络监控软件ARP防火墙功能说明

    一、什么叫ARP？    
    ARP（Address Resolution Protocol）是地址解析协议，是一种将IP地址转化成物理地址的协议。从IP地址到物理地址的映射有两种方式：表格方式和非表格方式。ARP具体说来就是将网络层（IP层，也就是相当于OSI的第三层）地址解析为数据连接层（MAC层，也就是相当于OSI的第二层）的MAC地址。
    二、 ARP原理：
    某机器A要向主机B发送报文，会查询本地的ARP缓存表，找到B的IP地址对应的MAC地址后，就会进行数据传输。如果未找到，则广播A一个ARP请求报文（携带主机A的IP地址Ia——物理地址Pa），请求IP地址为Ib的主机B回答物理地址Pb。网上所有主机包括B都收到ARP请求，但只有主机B识别自己的IP地址，于是向A主机发回一个ARP响应报文。其中就包含有B的MAC地址，A接收到B的应答后，就会更新本地的ARP缓存。接着使用这个MAC地址发送数据（由网卡附加MAC地址）。因此，本地高速缓存的这个ARP表是本地网络流通的基础，而且这个缓存是动态的。 因此正常的网络通讯环境都是需要ARP的；
    随着技术的发展，一些人利用了ARP技术进行了ARP攻击和ARP欺骗，当然也就产生了ARP病毒一说；主要结果就是导致ARP表和实际情况不符而导致网络中断的可能；但其实ARP本身是必须的；因此就产生了ARP防火墙技术，比较为大家熟悉的就是360的ARP火墙；
    三、如何使用INTRAVIEW部分设置ARP火墙阻断ARP攻击和ARP欺骗？
    INTRAVIEW标准版和专业版部分都附带了ARP火墙，可以静态绑定ARP表；设置非常简单，首先控制台里选择“本地网络”，然后点“控制规则”里“ARP火墙”，仅需要设置网关对应的IP和MAC，以及引擎本机对应的IP和MAC关系，所有安装了INTAVIEW工作站的电脑就自动免疫了ARP攻击和ARP病毒；

    防止ARP攻击需要两头绑定ARP（IP和MAC绑定）：绑定出口路由和绑定被监视电脑；

    1、绑定出口或路由：首先应将ANYVIEW（网络警）部署成网桥模式，因为网桥才是透明的， 这样就可以直接在路由上绑定，也可以在网桥上运行的ANYVIEW（网络警）来绑定ip和MAC关系，但如果是多VLAN的环境就只能在3层交换机上来绑定（因为交换机的子网网关IP对应了子网下所有电脑的MAC），使用ANYVIEW（网络警）绑定出口如下图所示：

   可通过以下功能鼠标右键导出IP和MAC对应关系（EXCEL格式或TXT格式），另外通过设置“新增MAC地址",可禁止外来电脑对本局域网网络的访问；

    2、绑定被监视电脑：其次就是在所有的被监视电脑上安装INTRAVIEW工作站.exe（如有域管理服务器可通过"INTRAVIEW工作站.MSI"安装包完全自动推送）;安装完成后设置控制台上的ARP火墙，绑定服务器本机ARP和路由出口的ARP信息，这样安装好INTRAVIEW工作站的所有被监视电脑都自动绑定了静态ARP了；
    
    
    四、如何准确判断网络内某个电脑是否中了ARP病毒？
    （1）首先到路由查看路由器LAN的MAC地址，记录下来
    （2）然后到AnyView所在电脑获取本机MAC地址（方法是：在MS-DOS状态下，执行“ipconfig /all”）记录下来
    （3）客户机断网的时候，在断网的客户机电脑的MS-DOS状态下，使用“arp -a”命令查看网关IP对应的MAC地址是多少？
    （4）如果这个MAC地址既不是网关的MAC，也不是ANYVIEW电脑的MAC（也就是引擎本机电脑MAC地址）     那就是中ARP毒了，这个MAC对应的可能就是发起ARP攻击的电脑或者是虚拟的MAC;