!使用IP地址来禁止内部用户上网

WEB认证的功能：只允许通过认证的内网用户上网，禁止未授权用户访问互联网。

认证方式：身份认证（用户名+密码）、MAC地址认证、IP地址认证等。

具体配置步骤如下：
启用WEB认证：即打开该功能的总开关，具体界面如下：
然后根据用户的实际需求选择具体的认证方式。

(一) MAC认证
首先在上网行为管理》上网认证里面选择MAC认证，直接添加用户MAC如下图：
保存之后便得到如下的界面，此时通过MAC认证的用户便不用输入用户名和密码就可以正常上外网。

（二）IP认证
首先在上网行为管理》IP地址组里面根据实际情况添加IP组，如下图：
添加之后得到如下两个IP组：
其次在上网行为管理》上网认证里面选择要实行IP 认证的IP组，如下图选择t est组。

此时test组中的用户不用输入用户名和密码便可正常上网。

（三）身份登记
选择上网行为管理》WEB认证》身份登记，录入相应的登记信息，如下图：
此时，内网用户如要上外网，则需要输入管理员在路由器上所分配的用户名和密码才可上网，如下图：
备注：
1、MAC认证和IP认证主要针对企业或酒店中内网固定的工作人员，此时可以考虑使用这两种认证方式。

2、目前飞鱼星设备中支持WEB认证功能的型号有：VE1220、VE1260、V E1520、VE1560、VE2520、VE2560、VE3660.。

IP-guard是采用模块化架构的企业级内网安全管理系统，共包括15个不同的功能模块，自由组合之后可以实现文档透明加密、全面信息防泄漏管理、上网行为管理、计算机使用行为监管、IT资产管理与远程维护等多种功能。

客户收益：符合保密规定，降低泄密风险IP—guard通过全方位的保护措施，保证政府机密文件的安全,防止信息泄露造成有重大影响的敏感事件严防入侵风险，保证政府内网安全严格满足国家关于政府内网安全要求，防止非法入侵，保证政府内网安全，稳定发挥电子政务的服务作用规范系统应用,提升工作效率培养工作人员规范的系统使用行为,提升系统应用效率，降低非法应用造成的系统威胁，最大限度发挥电子政务对业务的推动作用简化系统维护,保证系统稳定通过强大的系统管理与远程维护，把IT管理人员从冗繁重复的工作中解放出来，更多精力优化信息系统,保证网络安全保护国家资产轻松监控系统内软硬件资产，及时掌握变动情况,支持非IT资产自定义管理,强力杜绝国有资产流失概述以电子政务为代表的政府信息化在各级政府部门的应用日益广泛与深入，电脑与互联网让政府与政府、商业机构、公民以及雇员（公务员）之间更紧密、更便捷的连接和沟通成为现实，工作效率和服务能力得以显著提升,成为促进我国经济与社会快速发展的重要因素。

政府内部的文件和信息往往涉及国计民生，一旦发生外泄，不仅会给国家带来不可估量的经济损失,更严重的是，还可能造成无法挽回的国家声誉的影响，今年的“力拓案”就是一个例证，给政府部门敲响了警钟.在网络安全管理方面，政府部门实行严格的内外网分离政策，并且部署了防病毒软件、防火墙、入侵检测系统等众多安全产品，为什么依然不能杜绝信息外泄等问题呢?事实上，据权威统计显示，政务网络中80%的安全威胁来自内部：l 未经授权的文件传输导致重要文件外泄,l 无管理的移动存储设备使用造成病毒泛滥甚至导致文档泄露；l 篡改甚至删除重要文档等蓄意的破坏l 补丁安装和系统漏洞修补不及时，给网络威胁留下可乘之机;l 网络滥用造成的网络阻塞与应用效率低下；l 计算机和网络维护繁琐导致不及时，造成安全隐患凡此种种“内忧”,应付“外患”的网络边界防御产品自然无能为力。

禁止用户更改IP地址的设置方法通常情况下，单位局域网往往采用服务器采用静态IP、客户机采用DHCP自动分配的方式。

但是，网内用户总喜欢私自设置IP地址，经常出现IP地址冲突无法上网的局面。

下面介绍几种防止用户私自改变IP的方法。

一、本地连接不可修改可以说很多人修改IP都是因为看到了可以修改的地方才进行的，如果我们将能够进入修改本地连接属性的菜单命令全部隐藏起来，这同样可以起到禁止修改IP的目的。

按照前面的方法打开组策略编辑器，然后在左侧选择“用户配置—管理模板—桌面”，再双击右侧的“隐藏桌面上的网上邻居图标”，在打开的窗口中将其设置为“已启用”项，这样通过右击桌面上网上邻居图标的方式打开本地连接这条路就行不通了。

接下来，再在组策略中选择“用户配置—管理模板—控制面板”，将其中的“禁止访问控制面板”项设为“已启用”，这样不仅可以禁止通过控制面板中的网络与拨号连接来打开本地连接窗口，还可以禁止修改控制面板中提供的所有设置。

最后一种是通过开始的设置菜单中打开网络和拨号连接，对此我们同样可以在组策略中选择“用户配置—管理模板—网络和拨号连接”，然后将“从开始菜单删除网络和拨号连接”项启用即可。

二、对菜鸟隐藏本地连接图标当网络连接正常时，会在系统任务栏右侧显示出本地连接的小图标，其样子就是两台小电脑，很多菜鸟用户就是通过这个来修改IP地址的。

因为鼠标只要双击图标，即可快速打开本地连接窗口，然后进行IP地址修改。

因此，如果我们将该图标隐藏起来，那么就可以阻止很多初级用户私自修改IP.在桌面上右击“网上邻居”图标，在弹出的菜单中选择“属性”命令，在打开的网络和拨号连接窗口中即可看到本地连接图标。

右击本地连接图标，在弹出的菜单中选择“属性”，这样就打开了本地连接的属性窗口，在该窗口“常规”标签的底部将“连接后在通知区域显示图标”项取消，再单击“确定”按钮保存设置，这样任务栏上的本地连接状态图标就不见了。

虽然这样简单的一个步骤，但却可以让50%以上的用户不知道怎么去修改IP了。

广州禾信仪器股份有限公司文件编号公司内网 IP 地址管理办法版本 / 修订次页次编制袁小军审核批准日期一、目的为规范公司内网所属IP地址的管理和分配，保障网络安全运行和发展，更好地为公司服务，特制定本办法。

二、适用范围本办法适用于广州总公司。

三、地址管理1、公司内网 IP 地址由公司人事行政部负责规划、分配和管理。

2、公司内网 IP 地址将使用静态固定方式分配。

3、公司将详细记录每个IP 的使用地点、使用人姓名、对应的设备固定资产编号等信息。

四、相关责任1、公司使用静态固定方式管理内网 IP 地址，并将 IP 地址和上网计算机的网卡 MAC地址绑定，避免 IP 地址分配冲突、混乱和管理无序，实现一机一 IP 地址。

若更换网卡后，必须通知人事行政部。

2、 IP 地址按部门分段，由人事行政部统一分配。

调整电脑使用或新增电脑由人事行政部负责分配IP 地址。

3、用户必须严格使用人事行政部所分配的IP 地址，禁止自行改动。

擅自改动IP 地址的行为将被视为盗用IP 地址。

4、各部门（个人）不得挪用、转让公司内网所拥有的IP地址。

在 IP 地址使用人更换时，应及时向公司报告备案。

5、在局域网内部严禁盗用IP 地址，盗用行为包括：使用未经分配的 IP 地址、使用已分配给他人的IP 地址。

盗用行为一经查实，将给予暂停网络、通报批评处理。

6、服务器的IP 地址请报人事行政部来统一分配。

7、对产生异常情况（如：产生异常流量的IP地址、被盗用的 IP地址、计算机受到病毒影响等）的IP地址进行关停。

情节严重的，公司将停止其相应网络连接或信息服务。

8、禁止私自安装DHCP服务器（包含可以分配IP 地址的无线网络分享软件），违反此规定一律暂停网络。

9、用户必须对其使用网络的行为所产生的严重后果承担法律责任，部门负责人对其要有监督管理责任。

10、因违反本管理办法而被停止网络使用权的IP 地址，在完成整改并经公司审核后方可重新开通使用。

电信如何禁止路由上网及如何破解ADSL共享上网有两种方式，一种是代理，一种是地址翻译（NAT），大家常说的路由方式其实就是NAT方式，其实路由和NAT的原理还是有区别的，这里不作讨论，现在的ADSL猫一般都有NAT的功能，用它本身的功能实现共享上网是比经济方便，本文主要讨论这种方式。

要想阻断一台以上的计算机上网必须能发现共享后边的机器是否多于一台，NAT的工作原理如图一所示，经过NAT转换后访问外网的内网的计算机的地址都变成了192.168.0.1而且MAC地址也转换成了ADSL的MAC地址，也就是说，从原理上讲，直接在ADSL出口抓经过NAT转换的包是不能发现到底有几台机器在上网。

那是如何发现的呢？经过研究发现它是采用多种方法探测用户是否用共享方式上网，从而进行限制，下面分别进行破解:一.检查同一IP地址的数据包中是否有不同的MAC地址，如果是则判定用户共享上网。

破解的办法是把每台机的MAC地址改为一样.修改的方法如下:首先要获取本机的MAC：MAC地址是固化在网卡上串行EEPROM中的物理地址，通常有48位长。

以太网交换机根据某条信息包头中的MAC源地址和MAC目的地址实现包的交换和传递。

⑴在Windows 98/Me中，依次单击“开始”→“运行” →输入“winipcfg”→回车。

⑵在Windows 2000/XP中，依次单击“开始”→“运行”→输入“CMD”→回车→输入“ipconfig /all”→回车。

或者右键本地连接图标、选择状态然后点击支持选项卡，这里“详细信息”中包含有MAC和其它重要网络参数。

1、如果你的网卡驱动有直接提供克隆MAC地址功能,如RealTek 公司出的RTL8139芯片，那恭喜你了,点击“开始→设置→控制面板”，双击“网络和拨号连接”，右键点击需要修改MAC地址的网卡图标，并选择“属性”。

在“常规”选项卡中，点击“配置”按钮，点击“高级”选项卡。

在“属性” 区，你应该可以看到一个称作“Network Address”或“Locally Administered Address”的项目，点击它，在右侧“值”的下方，输入你要指定的MAC地址值。

如何配置AR路由器限制用户上网（Web方式）文档版本01发布日期2020-12-29版权所有 © 华为技术有限公司 2020。

保留一切权利。

非经本公司书面许可，任何单位和个人不得擅自摘抄、复制本文档内容的部分或全部，并不得以任何形式传播。

商标声明和其他华为商标均为华为技术有限公司的商标。

本文档提及的其他所有商标或注册商标，由各自的所有人拥有。

注意您购买的产品、服务或特性等应受华为公司商业合同和条款的约束，本文档中描述的全部或部分产品、服务或特性可能不在您的购买或使用范围之内。

除非合同另有约定，华为公司对本文档内容不做任何明示或默示的声明或保证。

由于产品版本升级或其他原因，本文档内容会不定期进行更新。

除非另有约定，本文档仅作为使用指导，本文档中的所有陈述、信息和建议不构成任何明示或暗示的担保。

华为技术有限公司地址：深圳市龙岗区坂田华为总部办公楼邮编：518129网址：https://客户服务邮箱：support@客户服务电话：4008302118如何配置AR路由器限制用户上网（Web方式）目录目录1 如何配置AR路由器限制用户上网（WEB方式） (1)1.1 常见的限制用户上网场景 (1)1.2 配置AR路由器限制用户上网的前提条件 (2)1.3 配置AR路由器限制内网用户上网 (2)1.3.1 限制用户的IP地址 (2)1.3.2 限制用户的MAC地址 (6)1.3.3 限制用户的VLAN (11)1.4 限制用户上网相关信息 (16)1如何配置AR路由器限制用户上网（WEB方式）1.1 常见的限制用户上网场景1.2 配置AR路由器限制用户上网的前提条件1.3 配置AR路由器限制内网用户上网1.4 限制用户上网相关信息1.1 常见的限制用户上网场景根据企业对内部员工上网权限的要求不同，本文总结了几种常见的限制用户上网场景，如表1-1所示。

表1-1常见的限制用户上网场景1.2 配置AR路由器限制用户上网的前提条件●已通过Web方式登录AR路由器。

怎么禁止局域网互相访问计算机技术已经发展数十年,网络技术应用到日常办公中也有一段时间了,随着局域网的逐步普及,更多无线技术应用到局域网体系中，局域网也遍布工作和生活中，那么你知道怎么禁止局域网互相访问吗?下面是店铺整理的一些关于禁止局域网互相访问的相关资料，供你参考。

禁止局域网互相访问的方法：1.直接断开连接来禁止访问电脑。

断开来访者的连接。

单击工具栏上的【显示用户】按钮，选中恶意来访者，单击菜单栏的【管理】，选择【断开用户连接】即可。

2.设置本机不共享文件.找到自己的共享文件夹,设置成不共享.直接关闭来访者打开的文件。

单击工具栏上的【显示共享的文件夹】，选中欲关闭的文件，单击菜单栏的【管理】，选择【关闭文件】即可,这样也可以禁止局域网用户访问电脑。

3.停止共享或用密码来限制来访者的访问权限。

单击工具栏上的【显示共享的文件夹】按钮，选中需管理的文件夹，单击菜单栏的【管理】，选择【停止共享】即可取消该文件夹的共享。

4.为共享添加密码若不希望停止共享，又要限制用户的访问，可以选择【共享文件夹的属性】为共享文件添加密码，限制未经授权的用户的访问。

需要注意的是，设置好密码后，必需断开已连接用户的连接后，密码方能起作用。

5.通过局域网接入管理软件来实现。

对于公司局域网中，如果想禁止局域网电脑访问服务器共享文件，或者阻止外来电脑接入公司局域网，然后访问局域网服务器共享文件或访问局域网其他电脑，或者访问互联网。

则可以考虑通过部署专业的局域网接入控制软件来实现。

例如，有一款“大势至内网安全卫士”(百度搜索“大势至内网安全卫士”即可下载)，就可以阻止外来电脑访问公司局域网共享文件或者访问局域网其他电脑，也可以阻止外来电脑上网，从而可以防止蹭网;同时，大势至内网安全卫士甚至还可以阻止公司局域网内部电脑访问服务器或其他电脑，甚至也可以阻止内网电脑上网，从而实现对局域网内部电脑的隔离控制，便于实现特殊的网络控制。

如下图所示：此外，大势至内网安全卫士还可以检测局域网手机、禁止手机无线上网、检测局域网无线路由器、禁止局域网修改IP地址和MAC地址、检测局域网混杂网卡、防止网络嗅探、禁止网络抓包等功能，从而可以实现局域网全方位的网络管理。

如何通过网络IP地址伪装实现匿名上网网络上的匿名性对于一些用户而言非常重要，无论是保护个人隐私还是规避地理限制，伪装IP地址可以帮助用户在互联网上实现匿名上网。

本文将介绍如何通过网络IP地址伪装来实现匿名上网的方法。

一、使用虚拟私人网络（VPN）虚拟私人网络（Virtual Private Network）是一种通过在用户与网络之间创建加密隧道的方式，使用户可以通过VPN服务器访问互联网。

通过连接到VPN服务器，用户的真实IP地址会被隐藏，取而代之的是VPN服务器的IP地址。

这样一来，用户在与互联网上进行通信时就不会暴露自己的真实IP地址，从而实现匿名上网。

二、使用代理服务器代理服务器是一种充当客户端和目标服务器之间中间人角色的服务器。

用户可以通过配置代理服务器，将自己的网络请求通过代理服务器中转，从而隐藏自己的真实IP地址。

代理服务器可以分为匿名代理和透明代理，选择合适的代理服务器类型可以更好地保护个人隐私。

三、使用Tor网络Tor网络是一种基于匿名性的网络，它通过将用户的网络流量经过多个节点的加密中转来隐藏用户的真实IP地址。

当用户通过Tor网络访问互联网时，每个节点只知道前一个节点和后一个节点的信息，而不知道源和目标的真实IP地址。

这种多重加密的方式使得用户在互联网上可以实现高度匿名的上网体验。

四、使用动态IP地址动态IP地址是由互联网服务提供商（ISP）动态分配给用户的IP地址。

与静态IP地址不同，动态IP地址在用户重新连接网络时会更改，从而使得用户的真实IP地址更难被追踪。

用户可以定期重新连接互联网，以更改自己的IP地址，从而达到伪装IP地址的效果。

需要注意的是，通过伪装IP地址实现匿名上网并不代表完全无法被追踪。

高级的追踪技术和监控系统仍然有可能追溯到用户的真实IP 地址。

因此，在进行涉及敏感信息或违法行为的网络活动时，用户还是需要谨慎，并采取其他安全措施来保护自己的个人隐私。

总结起来，通过使用虚拟私人网络、代理服务器、Tor网络或动态IP地址，用户可以有效地伪装自己的IP地址，从而实现匿名上网的目的。

IP-guard3.1企业信息安全监管系统∙电脑数据文档被员工随意拿U盘拷走，或通过邮件发走，窃取公司重要数据资料；∙员工不自觉工作，表面上在工作，暗中偷偷上网、聊天、玩游戏、做私活，影响工作效能；∙电脑网络中大量的文档被随意拷贝、修改、删除、打印，不留痕迹；∙滥用网络，随意上网、玩游戏、聊天、听音乐看电影、BT下载，影响网速；∙公司计算机软硬件资产管理混乱，硬件被偷换，乱装盗版软件，感染病毒；∙外来笔记本电脑及存储设备随意接入公司网络，带来风险；∙网络异常以及员工使用电脑违章，网络管理员响应不及时，贻误处理时机；IP-guard企业信息监管系统是一款高性价比的网络监管系统。

IP-guard可以详细记录网络环境下的计算机的屏幕、使用的应用程序、浏览的网站、文件操作等活动，并能提供程序使用控制、网站使用控制、设备禁用、远程控制、软件分发、资产管理等管理功能，从而让企业管理者清楚了解内部和控制的计算机使用者如何使用企业的信息资源，为企业的业务提供保障。

功能模块划分：软件界面：成功案例1：某著名外资IT制造企业，公司一直以来都充分信任员工，并未采取任何监控员工的手段，有一段时间，公司发现本公司新研发的产品刚一推出，市面上几乎同时就出现了完全一样的产品，公司怀疑部分员工将公司最新的设计出售给了竞争对手，但一直苦于没有证据，我们向该公司推荐了IP-guard，该公司首先在公司研发部门试用，通过IP-guard的文档操作记录和屏幕记录很快就发现了泄密员工，并成功移交公安机关立案侦查，此后该公司立刻在公司全面实施了IP-guard，并通过IP-guard严格限制了移动存储设备的使用，有效地防止了类似泄密事件的发生。

成功案例2：国内某小型外贸企业，在国内某著名出口商品交易会开幕前的一段时间，公司经理发现公司一个重要的业务员经常一个人在公司呆到很晚，由于该业务员掌握了公司大量的产品资料和客户资料，经理很担心该业务员将重要资料带出公司，我们向经理推荐了IP-guard，经过两日的观察，IP-guard 准确记录下了该业务员在公司员工都下班后企图窃取公司资料的行为，在掌握了确实的证据后，经理果断地在交易会开幕前辞退了该业务员，为公司挽回了巨大的损失。

允许访问222.222.222.222和111.111.111.1111.如果同时限制,只需要firewall-forward规则从上而下执行先ACCEPT DST 222.222.222.222/32 tcp 80111.111.111.111/32 tcp 80再DROP ALL2.如有个别用户SRC根据源地址来做.先充许几个内网用户比方说ACCEPT SRC 192.168.0.x/32 222.222.222.222/32 tcp 80DROP SRC 192.168.0.X/32 ALLACCEPT DST 222.222.222.222/32 tcp 80111.111.111.111/32 tcp 80因为规则从上到下,先允许这台192.168.0.X访问222.222.222.222的80端口再拒绝掉192.168.0.访问任何地方再允许所有的机器访问222.222.222.222/32的TCP 80口限制某些电脑不能访问外网，添加output规则链，在bridge里src MAC address 中填某些电脑MAC地址，应用在外网接口上限制某些IP地址不能访问外网，firewall添加out规则链，src address 填某些IP地址，应用在外网接口据我的经验，如果一个公司大了，电脑多了，网络复杂了，电脑高手多了，纯粹从技术的角度是没法控制的，要两手抓，两手硬：1。

从技术的角度加以控制，楼上有很多方法可以借鉴；2。

从管理的角度加以控制，用制度的形式规定用户不可任意更改电脑设定（不准未经批准加装系统、更改系统设定等等。

），否则严惩。

首选Ping 下对方计算机是否连通；1:在计算机管理里面查看本地用户，启用Guest帐号。

2:打开计算机管理－>服务和应用程序－>服务，在右窗中确保“Computer Browser”"Server"两项没有被停止或禁用。

如何封ip地址(2007-03-07 17:37:08)分类：网络知识局域网访问控制浅析作为一个网络管理员，恐怕最头疼的就是内网用户上网时不注意，经常会中各种各样的病毒，或者下载各种各样的软件，这样对整个局域网的安全造成很大的隐患。

另外，单位的领导也不希望员工在上班时间聊天、游戏，影响工作效率。

在这样的情况下，就要求网管限制不同用户的上网权限，我们今天就来谈谈如何封IP、IM聊天软件限制下载，甚至是禁止内网用户上网等等。

我们先来说说如何封IP地址。

大家上网随便搜索一下，就会发现有很多的方法来封IP 地址，但是同样也有很多方法来破解。

下面要介绍的方法，是一段程序代码，不仅能封IP，还能按照网段封。

代码如下：<?phpfunction IP_match($client_ip, $ip_pattern, $mask){$ret = true;$ret = $ret && ereg("^([0-9]).([0-9]).([0-9]).([0-9])$", $client_ip, $ret_ip1);$ret = $ret && ereg("^([0-9]).([0-9]).([0-9]).([0-9])$", $ip_pattern, $ret_ip2);$ret = $ret && ereg("^([0-9]).([0-9]).([0-9]).([0-9])$", $mask, $ret_mask);if (!$ret) {return false;}for ($i = 1; $i < 5; $i++) {if (((int)$ret_ip1[$i] & (int)$ret_mask[$i]) !=((int)$ret_ip2[$i] & (int)$ret_mask[$i])) {return false;}}return true;}?>其中：$client_ip：客户端IP$ip_pattern：你封锁的IP$mask：掩码返回true，说明该IP已经封锁。

如何阻止内网电脑相互通讯、禁止局域网电脑之间相互通讯、实现网络准入控制？作者：大势至日期：2014/1/8在公司局域网中，我们常常处于网络安全的考虑而禁止局域网电脑相互通讯，或者禁止外来电脑加入公司局域网，禁止非公司电脑访问公司局域网服务器或其他电脑等，同时也需要防止外来电脑、员工自己的手机、平板电脑接入公司局域网蹭网，从而给网络安全、信息安全带来较大隐患。

那么，如何阻止外来电脑接入公司局域网、禁止外来电脑无线上网、甚至禁止局域网电脑相互通讯呢？本文提供了两种比较有效的方法：一、通过局域网接入管理软件、网络准入控制系统来实现阻止内网电脑相互通讯。

目前国内有一些比较专业的局域网网络准入控制系统，例如当前国内知名的“大势至局域网安全卫士”（下载地址：百度搜索“大势至内网安全卫士”直接下载就可以了）就可以轻松实现控制外来电脑接入公司局域网的目的。

通过将“大势至局域网安全卫士部署在公司局域网任意一台电脑上，就可以扫描局域网所有电脑、手机、平板电脑等，通过一种类似于白名单的方式，可以将公司内部电脑放入白名单，这样公司内部电脑就可以相互通讯，也可以访问公司文件服务器等关键主机；而将手机、平板电脑或外来笔记本电脑等，放入黑名单，这样就无法与局域网电脑相互通讯，同时也无法上网了。

当然，如果你想阻止公司局域网内部电脑，包括白名单的电脑相互通讯的话，则只需要将白名单的某个或某些电脑放入黑名单，则即刻无法与其他白名单的电脑相互通讯，从而可以轻松实现禁止局域网电脑相互通讯的目的。

而通过防止外来电脑、手机或平板接入公司局域网，也极大地保护了网络安全，防止蹭网等现象的出现。

此外，大势至局域网安全卫士还可以检测局域网手机、平板电脑等，便于网管实现精确的管理；可以防止局域网arp攻击、禁止局域网电脑启用代理上网、禁止修改局域网IP地址、禁止修改mac地址、检测局域网混杂网卡、防止局域网网络嗅探、检测局域网无线路由器，禁止员工私自安装无线路由器的行为，防止网络不当扩展，如下图所示：图：大势至局域网网络准入控制系统二、通过路由器阻止局域网电脑相互通讯、防止外来电脑接入公司局域网、禁止外来电脑上网等。

如何禁止非法无线路由器接入目前，员工在办公室内私接无线路由器已经成为一个严重影响企业局域网管理的问题。

通过无线路由，员工自己的笔记本电脑、手机、平板等设备可以轻易接入到企业内网，这样就会严重挤占局域网带宽，占用公司网络资源，另外工作时间玩手机、看视频的现象可能因此而更加严重。

总之有效的禁止非法无线路由器接入才是解决问题的根本。

大势至局域网安全卫士大势至局域网安全卫士的获取方法：打开百度搜索框，输入“大势至局域网安全卫士”并进行搜索，从结果列表中选择任意一个链接进行下载即可。

大势至局域网安全卫士作为国内首款专注于局域网网络安全工具软件，一经推出就获得了国内广大用户的热烈欢迎，目前已经在国内很多企事业单位广泛应用。

大势至局域网安全卫士核心功能是：1)禁止外部电脑(如笔记本)或移动设备(如平板电脑或手机)接入单位局域网访问因特网2)禁止外部电脑访问局域网内部电脑资源或服务器共享文件、禁止外部电脑和单位内部电脑通讯3)禁止单位内部电脑修改IP地址或MAC地址，防止IP地址盗用、防止IP冲突攻击、防止越权上网或逃避网络监控4)禁止单位局域网电脑私自、主动访问外部电脑或移动设备，也即外部电脑不能访问内部电脑，内部电脑也不能主动访问外来电脑，实现双向隔离5)实时探测局域网内部电脑或外来电脑的在线与不在线情况6)突破一切防火墙隔离内部电脑或外部电脑上网或访问内部局域网的行为7)检测局域网内处于混杂模式的网卡，防止局域网电脑运行黑客软件、嗅探软件、抓包软件等8)防御局域网ARP攻击、抵御ARP欺骗、防止ARP病毒攻击、防止ARP劫持攻击等。

大势至局域网安全实现禁用无线路由器的具体操作方法：1作为国内首款专注于局域网安全的网络管理软件，大势至局域网安全卫士听取采纳用户的意见和建议，融入了最新的网络安全防护技术，进一步强化了管理局域网网络安全的功能。

其中新增了检测、隔离局域网无线路由器的功能，如下图：2具体操作方法为：在官网下载安装完成后，选择正确的网卡并开始监控，选中“自动隔离局域网无线路由器”选项并点击“检测”按钮。

局域网IP 地址非法使用解决问题地址非法使用解决问题在大多数局域网的运行管理工作中，网络管理员负责管理用户IP 地址的分配，用户通过正确地注册后才被认为是合法用户。

在局域网上任何用户使用未经授权的IP 地址都应视为IP 非法使用。

但在Windows 操作系统中，终端用户可以自由修改IP 地址的设置，从而产生了IP 地址非法使用的问题。

地址非法使用的问题。

改动后的改动后的IP 地址在局域网中运行时可能出现的情况如下。

在局域网中运行时可能出现的情况如下。

a. a. 非法的非法的IP 地址即IP 地址不在规划的局域网范围内。

地址不在规划的局域网范围内。

b.b.重复的重复的IP 地址与已经分配且正在局域网运行的合法的IP 地址发生资源冲突，使合法用户无法上网。

地址发生资源冲突，使合法用户无法上网。

c.c.冒用合法用户的冒用合法用户的IP 地址当合法用户不在线时，冒用其IP 地址联网，使合法用户的权益受到侵害。

地址联网，使合法用户的权益受到侵害。

1 IP 地址非法使用的动机地址非法使用的动机? ?IP 地址的非法使用问题，不是普通的技术问题，而是一个管理问题。

只有找到其存在的理由，根除其存在的基础，才可能从根本上杜绝其发生。

分析非法使用者的动机有以下几种情况：a. a. 干扰、破坏网络服务器和网络设备的正常运行。

干扰、破坏网络服务器和网络设备的正常运行。

b. b. 企图拥有被非法使用的企图拥有被非法使用的IP 地址所拥有的特权。

最典型的，就是因特网访问权限。

的，就是因特网访问权限。

c. c. 因机器重新安装、临时部署等原因，无意中造成的非法因机器重新安装、临时部署等原因，无意中造成的非法使用。

使用。

2 2 非法使用方法非法使用方法2.1 2.1 静态修改静态修改IP 地址配置地址配置 用户在配置TCP/IP 选项时，使用的不是管理员分配的IP 地址，就形成了IP 地址的非法使用。

2.2 2.2 同时修改同时修改MAC 地址和IP 地址地址非法用户还有可能将一台计算机的IP 地址和MAC 地址都改为另一台合法主机的IP 地址和MAC 地址。

路由器限制访问网站的方法是什么路由器系统构成了基于TCP/IP 的国际互联网络Internet 的主体脉络，也可以说，路由器构成了Internet的骨架。

在公司局域网中，有时候我们需要禁止电脑随意浏览网站、限制电脑访问网站，或者只让电脑访问指定网站，如何实现呢?可以通过以下几种方法屏蔽网站方法一：修改host文件加入屏蔽网站其实屏蔽网站是比较简单的，只需要找到：C:\WINDOWS\system32\drivers\etc这个文件，然后用记事本打开，在里面填加上需要屏蔽的网站即可。

需要注意的是这个文件是系统隐藏的，要进入修改，我们要先取消“隐藏受保护的操作系统文件”。

不过不用那么麻烦，我们可以直接进入电脑桌面--开始--运行在运行框中输入：C:\WINDOWS\system32\drivers\etc 然后确定即可快速打开选择记事本确定之后即可打开设置屏蔽网站的文件了，我们只需要按照以下格式输入需要屏蔽的网站地址即可，如下图：我们看到在文件的底部有一些列的127.0.0.1 与一些网站地址。

这个就是屏蔽的网站，请按照如上图中所写的对器输写，一行屏蔽一个网站多个网站写多行即可。

其评比网站的原理就是在Hosts文件的末尾填写“127.0.0.1 + 需要屏蔽的网址”，也可以写为“0.0.0.0 + 需要屏蔽的网址”。

这样做有效果的原因在于，127.0.0.1默认为本地的IP地址，而0.0.0.0是错误的IP地址。

所以，当浏览器解读这些网址的时候，就会对应并不正确的IP，因此便无法访问了。

在完成这些填写之后，点击记事本顶部左上脚的“文件”选择“保存”即可。

有时会有杀毒软件弹出说Hosts文件被更改，“风险行为”什么的，点击“允许”就是了，因为我们知道这个“风险行为”是自己做的。

设置完成之后大家即可输入屏蔽掉的网站是不是就打不开了，要取消把修改下文件即可。

屏蔽网站方法二：路由器屏蔽网站、路由器禁止上网的设置使用路由器屏蔽网站相对比较麻烦，可以使用路由器IP地址过滤功能过滤掉需要屏蔽的网站即可，如何获取网站的IP地址呢?只需要在开始运行里输入：ping： -t 即可知道，如下图，然后登陆路由器web管理界面，添加到屏蔽的IP地址列表即可。

ISP限制NAT的方法一、ISP绑定了网卡MAC地址接入。

破解方法：破解这个太简单了，常见的宽带路由器都有一种叫做“MAC地址克隆”的功能。

只要把能上网的网卡MAC地址“克隆”到路由器的WAN口就行了。

此方法网上流传太广，不多说。

二、ISP限制了IP数据包的TTL值。

封锁原理：懂网络原理的朋友应该知道，IP数据包在传输过程中每经过一跳TTL值就会减1，所以如果有人在下面私开NAT的话，ip包经过NAT服务器或者代理服务器出去之后的TTL值一定为：31、63、127或者254。

所以ISP只需要在局端抓取拥有这些TTL值的数据，直接drop掉，就可以禁止大部份用户自架NAT服务器上网了破解方法：既然我们明白了封锁原理，即数据包每经过一跳路由出去后ttl 值就会减1，那么我们只要人为的在操作系统中将TTL默认值增大一跳，譬如在winxp系统中通过修改注册表，将TTL值改为129，减1出之后正好是128，就可以逃避检查了。

注意某些地方ISP可能只允许有限的几个默认的TTL出去。

三、ISP修改了DNS查询应答包的TTL值封锁原理：ISP也有可能会将UDP 53端口（也就是DNS请求）返回包的TTL 值设置为 1.这样的话(iptables -t mangle -A PREROUTING -i eth1 -d 192.168.1.0/24 -p udp --sport 53 -j TTL --ttl-set 1)，DNS应答的包只能到达下一级主机。

如果使用了代理或者NAT，再下一级的TTL值将为0，这个包就丢掉了。

从而实现无法解析DNS，大部份用户也就没法上网。

但用户自行修改HOSTS文件手动解析网站或直接通过IP地址访问Internet是可以的。

破解方法：最好的办法是使用DNS代理，这个DNS代理服务也只能在NAT 服务器（路由器）上跑，让DNS代理帮内网用户传递DNS请求。

还有一种办法就是把TTL给它值改回来！我们可以在路由器上抓取回来的DNS应答包，然后人为的增加TTL值，DNS就可以继续传递给内网了，这个方法也适用于前面那个限制TTL值出去的案例。

附：内部上网管理规定为规范网络使用，提高工作效率，规范上网行为，以保障公司信息安全及速度，防范网络风险，结合公司实际情况，特制订本规定，望全体员工恪守规则，共同营造高效有序的网络及办公环境。

一、联网后计算机实行一对一责任制，谁用谁负责。

所有联网用户将计算机名和IP地址备案登记。

二、所有联网用户不得自行连接使用路由器、交换机、集线器等网络设备；公司给每台计算机指派一个固定IP，不得随便更改IP，以免造成IP地址冲突影响办公；个人不得私自使用网络管理软件（或硬件）影响网络的正常运行；网络布线未经公司同意，不得随意改动。

三、所有员工应保管好个人帐户，对于操作服务器的用户必须设置并保密帐号口令，严禁在网上共享和泄露公司战略计划、经营数据、业务资料、技术资料等公司机密。

四、上班时间段，电脑及上网操作行为规范：1、禁止上班时间用电脑从事与工作无关的事或处理个人事务，中午休息时间除外。

2、严禁上班时间玩电脑游戏、观看和下载电影、电视剧体育比赛等娱乐节目；同时严禁进行脱机游戏、看与工作无关的文件及图片（如MP3文件、电子小说、影象文件）等与工作无关的事情。

3、P2P 软件对网络资源消耗极大，上班时间内严格禁止PPS网络电视。

、酷狗音乐、QQ 网络音乐电视、BT电驴等 P2P 软件的使用。

4、严禁浏览色情、赌博等非法网站，不制作和传播不健康和有伤风化的信息；不滥用网络资源浏览无关网页、娱乐网站、购物网站（如淘宝、拍拍）等，不利用QQ/MSN做与工作无关的闲聊，对于一切视频媒体网站如：土豆网、优酷网等禁止访问；5、提高安全意识，及时升级病毒库查杀病毒，严禁故意输入计算机病毒以及其它有害数据，危害公司网络系统的安全，增强信息安全和保密意识，无法识别的信息不要下载，无法确定是否安全的操作，慎重进行，不随意打开来历不明的电子邮件，不打开与工作无关的网页，防止病毒入侵，对外发邮件或上传文件时，应提前查杀病毒。

6、为保持系统的稳定，只允许安装与办公有关的常用软件。