用于逃避内网使用arp欺骗原理 网管软件的监视，如：网络执法官、聚生网管等。（不适用于网关型代理服务器或交换机Port Mirror的监控模式）：

一、原理就不说了，首先检查内网是否有人在使用此类网管软件。
运行 arp –a
如下图可看到本机arp表里有两个IP的MAC地址是一样的，192.168.2.1是网关IP。而192.168.2.23这个IP。正在使用此类网管软件，它正在进行ARP欺骗。
6384
二、 安装8Signs Firewall软件
6385
6386
三、 安装好后重新启动计算机，将原来firewall默认的ARP规则禁止或删除掉，如下图所示：
6387

四、 然后在Rule菜单下建立可信任的IP Address Group，如下图：
6388

五、 建立组名：
6389

六、 加入网关的IP地址192.168.2.1：
6390

七、 在Rules菜单下建立可信任的MAC Group
6391

八、 建立MAC Group 名：
6392

九、 输入网关设备的真实MAC地址:
6393

十、 新建ARP规则：
6394

十一、 规则描述：

6395

十二、 选择前面已经设置好的Allow Lan IP Address：
6396

十三、 选择Allow：
6397

十四、 运行gpedit.msc ：
6398

十五、 添加计算机启动时运行的批处理文件，用于绑定网关的IP和MAC地址：
6399

十六、 建立“Allow Lan MAC List.bat”文件，内容如下图，并把文件放到
C:\WINDOWS\system32\GroupPolicy\Machine\Scripts\Startup 目录下：
6400

十七、重新启动计算机完成设置。被8Signs Firewall拦截到的ARP包,如下图，乖乖，你看那网管软件整网段狂发ARP包。
6401

十八、设置取消Log日志：