各显神通 让网络安全从保护IP做起

鸿鹄

Internet网络并不都是阳光明媚，也有乌云漫布!这不，在网上冲浪时经常遭遇安全“骚扰”，其中在局域网环境中尤以非法偷用他人工作站的IP地址最为常见，这种现象严重影响了网络管理员对局域网网络的高效管理与维护。为了让工作站能够安全通过网络访问内容，我们首先应该从保护好本地工作站的IP地址做起!现在，本文特意想大家所想、急大家所急，为各位朋友倾力贡献多则保护IP地址的妙招，希望大家能从下面的内容中得到一点收获!
　　保护IP地址的必要性
　　我们知道，工作站使用的IP地址其实是一个相对静态的逻辑地址，它的数值能够被普通用户设置和修改，如果我们想限制普通用户随意修改IP地址的话，可以使用局域网中的DHCP服务器来为工作站动态分配IP地址，可是这种分配地址的方式容易给网络管理带来麻烦。此外，许多网卡自身携带的网卡配置程序，也可以让用户能很轻松地修改IP和MAC地址。要是没有网卡配置程序的话，用户也能采用其他软件，来修改网卡的MAC地址，甚至通过修改注册表的方式，来实现欺骗上层网络应用的目的，这么说来工作站的IP地址就很容易被别人盗用。要是发生IP地址被他人非法偷用的现象时，轻则容易造成目标工作站不能继续上网，严重的话能造成整个局域网网络内的所有工作站都不能上网;倘若局域网中路由器使用的IP地址被他人偷用的话，那整个局域网网络可能就全完蛋了。
　　保护IP地址的各种招法
　　既然工作站的IP地址被非法用户偷用，容易导致工作站无法上网，那么我们能否找到一些合适、有效的方法，来阻止局域网中的所有工作站用户不能随意更改IP地址，以保证整个局域网网络能始终高效工作呢?答案是肯定的!我们可以使用下面的特殊绝招，来有效保护工作站IP地址的安全性!
　　1、修改组策略，禁止访问连接属性
　　这种方法是通过修改组策略中的有关局域网连接组件的属性，来达到限制用户随意更改网络连接属性目的的，一旦用户无法打开网络连接属性窗口，那么他自然也就无法随意更改工作站网卡的IP地址了。倘若你使用的是Win2000工作站时，那么你就可以按照如下步骤，来限制用户盗用别人的IP地址：
　　依次单击“开始”/“运行”命令，在打开的系统运行对话框中，输入组策略编辑命令“gpedit.msc”，单击“确定”按钮后，再依次展开组策略编辑界面中的“用户配置”文件夹、“管理模板”文件夹、“网络”文件夹、“网络及拨号连接”文件夹;
　　接着在对应“网络及拨号连接”文件夹右边的子窗口中，选中“可以访问lan连接组件的属性”选项，并用鼠标双击之，在其后出现的设置对话框中，选中“禁用”选项，同时单击“确定”按钮，这样用户日后就无法进入到TCP/IP属性设置对话框，去修改网卡的IP地址参数了。不信的话，你可以打开网络连接属性窗口，再选中“Internet协议(TCP/IP)”选项时，你会发现此时的“属性”按钮已经失效了(如图1所示)。
   

   
    当然，你也可以在对应“网络及拨号连接”文件夹右边的子窗口中，选中“允许访问lan连接的属性”选项，并用鼠标双击之，再在其后的设置对话框中选中“禁用”选项，并单击“确定”按钮，这样用户日后连网络连接属性窗口都打不开了，更不要说去修改网络参数了。这种方法实现起来虽然很简单，但要是用户熟悉组策略编辑操作的话，那么它就没有多大作用了。
2、设置注册表，阻止打开网络属性
　　这种方法是通过修改注册表相关网络分支的方法，来阻止用户随意进入网络属性设置窗口，从而实现更改IP地址的目的。下面就是该方法的具体实现步骤：
　　首先打开系统的运行框中，在其中执行注册表编辑命令“regedit”，在其后出现的编辑对话框中，依次用鼠标展开其中的注册表分支子项HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Policies\Network，如图2所示;
   

   
    在对应“Network”分支右边的子窗口中，用鼠标右键单击一下空白区域，从打开的快捷菜单中依次执行“新建”/“Dword值”命令，并将新创建好的Dword值名称设置为“NoNetSetup”，同时将它的数值设置为“1”，最后单击“确定”按钮，并重新启动一下计算机系统;
　　之后，你再尝试一下打开网上邻居属性窗口，此时你会发现系统已经不允许对网络参数进行修改了，这样工作站的IP地址当然也无法修改了。
　　当然，你可以将鼠标定位在HKEY_CLASSES_ROOT\Interface\{0000010C-0000-0000-C000-000000000046} 分支中，将该分支直接删除掉，或者将下面的选项数值设置为无效，同样也能实现阻止用户随意进入网络属性设置窗口的目的。这种方法仅在Win98环境下有效，而且需要用户熟悉注册表的编辑工作，否则的话请不要随意更改注册表设置，以免造成系统无法正常运行。
　　3、修改系统服务，隐藏本地连接图标
　　这种方法是通过停止系统的网络连接服务的方法，来达到阻止用户进入网络参数设置窗口而随意修改IP地址目的的。在使用该方法时，你可以按照如下步骤来进行：
　　依次单击“开始”/“程序”/“管理工具”/“服务”命令，在弹出的系统服务列表窗口中，找到和网络与拨号连接相关的服务“Network Connections”选项，并用鼠标双击之;在弹出的图3所示界面中，单击“启动类型”处的下拉按钮，从弹出的下拉菜单中选中“已禁用”选项，再依次单击“应用”、“确定”按钮，这样用户就无法在系统的网络和拨号连接窗口中，找到本地连接的图标了，如此一来他们自然也就无法打开网络属性设置窗口，从而对工作站的IP地址进行随意改动了。当然，要是你将“Plug and play”服务设置为禁止的话，只要重新启动一下计算机系统，你也将无法找到本地连接图标的“影子”。这种方法尽管可以让用户无法修改工作站的网络参数，但它会影响到拨号网络设置、添加新连接设置等，因此该方法只能用于没有拨号连接的情况下，或者适用于不需要进行其他类型的网络连接条件下。
　　除了通过修改系统服务来隐藏本地连接图标外，我们还能通过取消网络和拔号连接图标的反注册操作，让系统无法找到本地连接图标，从而实现隐藏网络属性设置窗口的目的。下面就是该方法的具体实现方法：
　　依次单击“开始”/“运行”命令，在打开的系统运行对话框中，输入“regsvr32 Netcfgx.dll/u”命令，再单击“确定”按钮;同样地再依次执行“regsvr32 Netman.dll/u”命令、“regsvr32 Netshell.dll/u”命令，最后再重新启动一下计算机系统，这样系统就找不到本地连接图标了，用户自然也就没有办法打开网络参数设置窗口，进行更改IP地址操作了。由于这种方法需要修改系统的注册表，因此在执行上述命令之前，最好先对注册表进行一下备份，以免遇到意外，导致系统不能正常运行。
　　4、巧妙绑定地址，拒绝强行更改地址
　　这种方法是目前最为常用的一种方法，它通过将工作站网卡的IP地址和物理地址绑定在一起的办法，来限定指定工作站的网卡只能使用指定的IP地址，如果随意改成其他数值的IP地址，那么该工作站就无法上网。
　　在使用该方法之前，你首先需要将指定网卡的物理地址查找到;要是你只有少量的工作站地址需要绑定时，那么你可以在Win2000或WinXP系统中，通过“ipconfig /all”命令，来得到指定工作站网卡的MAC地址，在Win98环境中通过“msconfig”命令，得到指定网卡的物理地址。倘若你需要查找多台工作站网卡的MAC地址时，就可以借助一款名为“MAC地址扫描器”的专业查找工具，来批量获得整个网络内所有工作站网卡的物理地址。
　　查找到指定网卡的物理地址后，你可以依次单击“开始”/“运行”命令，在弹出的系统运行框中，执行“cmd”命令，将系统切换到Ms-dos工作方式，并在DOS命令行中执行“arp -s ip mac”格式的字符串命令，这样就能将指定IP地址限制在指定网卡中了。例如，要是你希望将“61.100.120.10”这样的IP地址，限制在MAC地址为“00-01-30-17-86-50”的网卡上时，那么你可以在DOS命令行中输入“arp -s 61.100.120.10 00-01-30-17-86-50”字符串命令，单击回车键后，该工作站的IP地址就无法随意更改了;倘若你此时强行更改IP地址时，你的工作站无论如何都是连不上网的。这种方法虽然操作起来有点简单，但它只对通过代理服务器方式上网的工作站有效，而对其他类型的工作站却无效。  

李三

盗梦

蓝调开场

学习了，谢谢分享1

xwlxw

谢谢

网络倒斗

受教了  谢谢分享

th9890

{:soso__16588299066569408794_3:}

Andi威