В настройках файевола есть даже такие опции:
Разрешить ответ на ARP-запросы из Доверенной зоны
Обнаружение атаки типа ARP Poisoning
А вот насчет полного блокирования трудно сказать, разве что включить блокирование всех соединений по протоколу TCP/IP, но это по понятным причинам не решение.