arpmatchenetsender

    决定防火墙是否要求以太网级的发送地址与arp数据报告的硬件地址一致。

    缺省值：droplog

    arpquerynosenderip

    如何处理发送ip为0.0.0.0的arp询问。这样的发送ip在响应中都是无效的，但是，不知道其ip地址的网络设备有时提出“未指定”发送ip的arp问题。

    缺省值：droplog

    arpsenderip

    决定ip发送地址是否必须与访问部分的规则一致。

    缺省值：validate

    unsolicitedarpreplies

    决定防火墙如何处理未经防火墙询问的arp响应。根据arp的规定，接收者应该接收这些响应。可是，因为这样做为攻击本地连接打开了方便之门，所以，一般是不允许的。

    缺省值：droplog

    arprequests

    决定防火墙是否自动把arp请求里的数据添加到arp表里。arp规则声明应该添加，可是，因为这样做为攻击本地连接打开了方便之门，所以，一般是不允许的。即使把arp请求设置为drop（意味着不储存就丢弃包），如果其他规则同意此请求，防火墙也应该做出响应。

    缺省值：droplog

    arpchanges

    决定防火墙在接收的arp响应或arp请求改变arp表中已有项目的情况下应如何处理。这么做会方便对本地连接的攻击。可是，禁止这么做，如果更换网卡也会产生问题，因为防火墙在arp表目录在超时时才能接受新地址。

    缺省值：acceptlog

    staticarpchanges

    决定防火墙在接收的arp响应或arp请求改变arp表中静态项目的情况下应如何处理。当然，决不允许这种情况发生。但是，此设置的确允许指定是否记录这种情况。

    缺省值：droplog

    arpexpire

    指定arp表里正常动态项目在删除前在表中保留的时间。

    缺省值：900秒（15分钟）

    arpexpireunknown

    指定防火墙记忆无法到达地址的时间。这能够保证防火墙间断询问此类地址的现象。

    缺省值：15秒

    arpmulticast

    决定防火墙如何处理声称为多播地址的arp请求和arp响应。这种声明通常是错误的，某些负载平衡和冗余设备例外，因为它们使用的是硬件层多播地址。

    缺省值：droplog

    arpbroadcast

    决定防火墙如何处理声称为广播地址的arp请求和arp响应。这种声明通常是不正确的。

    缺省值：droplog

    arpcachesize

    缓存里总共能够保留多少arp目录。

    缺省值：4096

    arphashsize

    所谓的hash表是用来快速查看表中目录的。为了到达最大效率，hash表应为标定指数的尺寸的2倍，所以如果直接连接的最大lan拥有500个ip地址，那么arp hash目录的尺寸至少应有1000条目录。

    缺省值：1000