企业局域网中如何限制网络访问

企业局域网中如何限制网络访问
在企业局域网中，为了更好的保障员工的工作效率，防止员工利用网络做私人事情，企业就会做一些访问限制。

通常限制的方法有路由器IP过滤和强制使用代理服务器等几种方式，当然现在也可以使用小草上网行为管理软路由这样的专业局域网管理软件来做网络访问限制。

路由器IP过滤指的是通过在路由器中加入外网或国外的IP黑名单，使得内网或国内无法访问外网或国外的这些IP，达到限制访问的目的。

强制使用代理服务器的过滤方式通常只在大型企业中应用，指的是内网必须通过代理服务器才能访问外网，那么在代理服务器上可以实现更为复杂的过滤机制。

如果要禁止人们访问某些网站，那么路由器管理者可以在路由器中设置IP过滤规则，把这些网站的IP加入黑名单，自然人们就无法访问这些网站了。

之后，人们为了继续访问这些网站，就会用代理服务器绕过限制。

代理服务器的IP成千上万，而且不停在变化，使得限制网络访问的工作处于被动局面。

然而，由于代理服务器协议是明文的，通过监听网络数据包并制作自动搜集整理的程序可以知道人们访问了哪些代理服务器并自动把代理服务器的IP加入到IP黑名单中，这样使用普通代理服务器绕过访问限制的方式就失效了，绕过网络访问限制的工作处于相当被动的局面。

所以，为了避免被侦测到代理服务器地址，加密代理软件应运而生。

用户和代理服务器之间的通讯协议进行了加密，使得无法简单通过侦听网络数据包分析出代理服务器的IP地址。

又一次使得限制网络访问的工作处于被动局面。

但是，加密代理软件也需要和代理服务器进行通讯，也需要知道加密代理服务器的IP 地址。

所以加密代理软件一般会在启动时去某些发布加密代理服务器IP地址的地方获得加密代理服务器的IP。

那么，只需要单独拿出一台计算机，启动加密代理软件，对这台计算机的网络通讯进行监视，那么即可知道发布加密代理IP地址的地方，从而对发布点进行IP过滤。

而且可以做成程序自动启动加密代理软件，自动监视数据包，自动把加密代理IP的发布地点的IP加入黑名单，这样加密代理软件无法获得加密代理的IP，加密代理软件失效，绕过网络限制的工作又一次处于十分不利的位置。

加密代理软件为了对付这种情况，就需要把访问代理IP发布点的流量混杂在访问非代理IP发布点的流量中。

比如，加密代理软件启动时，首先访问其它大量网站，在访问其它网站之中的某一次访问代理IP发布点，这样就把流量进行混杂了，无法通过简单的网络数
据包侦听获得代理IP发布点的IP地址。

如果把所有侦听到的地址全部加入黑名单，那么将会误封很多网站。

限制网络访问的工作又处于不利的位置。

限制局域网的网络访问还是需要网管们结合实际来操作，无论是加密软件还是小草上网行为管理软路由这样的专业网管软件，都是网管们需要用到，也是能够实际帮助我们管理好网络的工具！。