目前我公司使用的網絡全是靜態IP地址，在公司里面有一臺ASA5505防火墻，應領導要求，在該防火墻上面要限制某部份用戶不能使用某些應用（如QQ農場等），而領導的計算機不做任何限制。為了實現這些功能，我們需要在ASA 5505防火墻上面做ARP綁定，然后再使用訪問控帛列表來對這些IP地址與MAC地址進行限制。具體配置很簡單，那么下面就帶大家一起來看看如何在ASA 5500防火墻上面配置ARP綁定呢？

ciscoasa# conf t
ciscoasa(config)# name 192.168.0.78 liuty-s //給我這個IP地址取一個名字
ciscoasa(config)# object-group network inside //建立一個對像組
ciscoasa(config-network)# network-object host 192.168.0.78 //將我的IP地址加入到該對像組中
ciscoasa(config-network)# exit
ciscoasa(config)# access-list inside line 1 per ip object-group inside any //訪問控制列表，允許oubject-group中的inside中的IP地址去訪問任何地址
ciscoasa(config)# access-group inside in interface inside  //將訪問控制列表inside應用到inside的入口方向上面
ciscoasa(config)# arp inside 192.168.0.78 0023.14e7.bd10 //將該IP地址與MAC地址綁定

很簡單的幾條命令，我們就實現將下面PC的IP地址與MAC地址進行綁定了。下面我們來測試一下看看。剛才上面的IP地址與MAC地址是我筆記本無線網卡的IP地址與MAC地址（如下圖）。

我們ping 192.168.0.199（防火墻內網接口地址）看看能否正常通信。

從上圖我們可以看見，通過我們的無線網卡能夠正常的去與我們防火墻內部接口正常通信。那么下面我將我無線網卡上面的IP地址換至有線網卡上面再測試，這樣我有線網卡的MAC地址就不能與防火墻上面設置的MAC地址匹配（如下圖）。

那么我們現在再來看看能不能正常進行通信呢（如下圖）

從這里我們可以很明顯的看見，他不能與我們防火墻進行通信，而這樣就已經實現了IP地址與MAC地址對應以后才能正常通過防火墻出去。但是這樣有一點我們大家很容易忽略的，就是我們只將我們需要用的地址進行IP與MAC綁定，而其他沒有用的就沒有綁，那么人有使用沒有綁定IP地址與MAC地址的IP去訪問互聯網，是能夠正常出去的。下面我們來試試，我現在將我的IP地址改成192.168.0.2，這個IP地址在我當前的網絡中是沒有使用的，在防火墻上面也沒有對該IP地址進行MAC地址綁定。

這時候我們再ping一下防火墻的內網接口地址看看能否正常通信呢？

看看是不是能夠正常通信呢？所以我們在配置這個的時候一定要注意，將沒有啟用的IP地址給他隨便配置一個MAC地址，或者我們在寫訪問控制列表的時候，只允許啟用了的IP地址經過防火墻出去，而沒有啟用的地址就給拒絕。

本文出自 “網絡乄醜” 博客，http://ltyluck.blog.51cto.com/170459/348509

【編輯推薦】

1. 剖析ARP緩存感染攻擊
2. 思科ASA防火墻配置很簡單！
3. 應用層防火墻如何防御協議棧上的攻擊？
4. WEB應用防火墻之前世今生——誤讀