我们在ARP协议上所做的工作主要想达到以下几个目的:防止ARP欺骗(即MAC地址欺骗);有条件地禁止ARP工作;查询主机硬件地址;提供ARP服务;检测ARP报文。

　　利用上述几项功能，我们能确保内部ARP欺骗的无效，查出欺骗的主机并记录，尤其能防止ARP层的拒绝服务。我们通过主机级被动检测、主机级主动检测、服务器级检测、网络级检测、查询主机硬件地址、有条件地禁止ARP等机制实现以上功能。

　　ICMP是为了允许路由器向主机报告投递出错的原因和一些控制而设计的。但事实上，任何一台主机都可以向任何其他机器发送ICMP报文，如Ping。

　　ICMP在本系统中的作用主要是：隐藏子网内主机信息和施加一些控制。ICMP虽然有一定的作用，如差错报告，但也有更大的安全隐患。一般来讲，对外部，ICMP应禁止(很多过滤路由器有此项功能)。

　　我们主要是采用了三种策略隐藏子网内主机信息：

　　对内部主机的ICMP包，虽然转发，但改写了ICMP包中的源IP地址，使外部不能看到内部的IP地址。

　　外部ICMP请求包一律抛弃。

　　对内部有请求时，才动态地接收外部主机的响应， 且一些ICMP危胁安全的响应也抛弃，如改变路由的ICMP包。

　　另外，我们可以借助ICMP来获得一些参数和一些控制，如时钟同步、地址掩码，并可利用ICMP目的地不可达报文“优雅”地通知不受欢迎的主机。

　　IP是通信子网的最高层，它的主要任务是寻址和转发。IP层最大的安全问题是IP欺骗，且很多上层的安全隐患源于IP欺骗，如DNS欺骗。IP层常用的安全措施是根据源地址、目的地址进行过滤，这一点已在很多路由器中得到应用。在本系统的IP层主要完成以下几个功能：IP地址过滤;IP地址与MAC绑定，防止IP欺骗;为上层提供一种通道。

　　TCP/UDP存在数据包伪装、SYN Flood攻击等安全隐患。为避免上述情况，必须要增加一定的验证措施，我们利用TCP的特征，设计了一种较有效的过滤手段，对TCP报文的有效性进行确认。

　　我们的产品不仅覆盖了传统包过滤防火墙的全部功能，而且在全面对抗IP欺骗、SYN Flood、ICMP、ARP等攻击手段方面有显著优势，增强代理服务，并使其与包过滤相融合，再加上智能过滤技术，使新型防火墙的安全性提升到又一高度。