!使用IP地址来禁止内部用户上网

WEB认证的功能：只允许通过认证的内网用户上网，禁止未授权用户访问互联网。

认证方式：身份认证（用户名+密码）、MAC地址认证、IP地址认证等。

具体配置步骤如下：
启用WEB认证：即打开该功能的总开关，具体界面如下：
然后根据用户的实际需求选择具体的认证方式。

(一) MAC认证
首先在上网行为管理》上网认证里面选择MAC认证，直接添加用户MAC如下图：
保存之后便得到如下的界面，此时通过MAC认证的用户便不用输入用户名和密码就可以正常上外网。

（二）IP认证
首先在上网行为管理》IP地址组里面根据实际情况添加IP组，如下图：
添加之后得到如下两个IP组：
其次在上网行为管理》上网认证里面选择要实行IP 认证的IP组，如下图选择t est组。

此时test组中的用户不用输入用户名和密码便可正常上网。

（三）身份登记
选择上网行为管理》WEB认证》身份登记，录入相应的登记信息，如下图：
此时，内网用户如要上外网，则需要输入管理员在路由器上所分配的用户名和密码才可上网，如下图：
备注：
1、MAC认证和IP认证主要针对企业或酒店中内网固定的工作人员，此时可以考虑使用这两种认证方式。

2、目前飞鱼星设备中支持WEB认证功能的型号有：VE1220、VE1260、V E1520、VE1560、VE2520、VE2560、VE3660.。

IP-guard是采用模块化架构的企业级内网安全管理系统，共包括15个不同的功能模块，自由组合之后可以实现文档透明加密、全面信息防泄漏管理、上网行为管理、计算机使用行为监管、IT资产管理与远程维护等多种功能。

客户收益：符合保密规定，降低泄密风险IP—guard通过全方位的保护措施，保证政府机密文件的安全,防止信息泄露造成有重大影响的敏感事件严防入侵风险，保证政府内网安全严格满足国家关于政府内网安全要求，防止非法入侵，保证政府内网安全，稳定发挥电子政务的服务作用规范系统应用,提升工作效率培养工作人员规范的系统使用行为,提升系统应用效率，降低非法应用造成的系统威胁，最大限度发挥电子政务对业务的推动作用简化系统维护,保证系统稳定通过强大的系统管理与远程维护，把IT管理人员从冗繁重复的工作中解放出来，更多精力优化信息系统,保证网络安全保护国家资产轻松监控系统内软硬件资产，及时掌握变动情况,支持非IT资产自定义管理,强力杜绝国有资产流失概述以电子政务为代表的政府信息化在各级政府部门的应用日益广泛与深入，电脑与互联网让政府与政府、商业机构、公民以及雇员（公务员）之间更紧密、更便捷的连接和沟通成为现实，工作效率和服务能力得以显著提升,成为促进我国经济与社会快速发展的重要因素。

政府内部的文件和信息往往涉及国计民生，一旦发生外泄，不仅会给国家带来不可估量的经济损失,更严重的是，还可能造成无法挽回的国家声誉的影响，今年的“力拓案”就是一个例证，给政府部门敲响了警钟.在网络安全管理方面，政府部门实行严格的内外网分离政策，并且部署了防病毒软件、防火墙、入侵检测系统等众多安全产品，为什么依然不能杜绝信息外泄等问题呢?事实上，据权威统计显示，政务网络中80%的安全威胁来自内部：l 未经授权的文件传输导致重要文件外泄,l 无管理的移动存储设备使用造成病毒泛滥甚至导致文档泄露；l 篡改甚至删除重要文档等蓄意的破坏l 补丁安装和系统漏洞修补不及时，给网络威胁留下可乘之机;l 网络滥用造成的网络阻塞与应用效率低下；l 计算机和网络维护繁琐导致不及时，造成安全隐患凡此种种“内忧”,应付“外患”的网络边界防御产品自然无能为力。

禁止用户更改IP地址的设置方法通常情况下，单位局域网往往采用服务器采用静态IP、客户机采用DHCP自动分配的方式。

但是，网内用户总喜欢私自设置IP地址，经常出现IP地址冲突无法上网的局面。

下面介绍几种防止用户私自改变IP的方法。

一、本地连接不可修改可以说很多人修改IP都是因为看到了可以修改的地方才进行的，如果我们将能够进入修改本地连接属性的菜单命令全部隐藏起来，这同样可以起到禁止修改IP的目的。

按照前面的方法打开组策略编辑器，然后在左侧选择“用户配置—管理模板—桌面”，再双击右侧的“隐藏桌面上的网上邻居图标”，在打开的窗口中将其设置为“已启用”项，这样通过右击桌面上网上邻居图标的方式打开本地连接这条路就行不通了。

接下来，再在组策略中选择“用户配置—管理模板—控制面板”，将其中的“禁止访问控制面板”项设为“已启用”，这样不仅可以禁止通过控制面板中的网络与拨号连接来打开本地连接窗口，还可以禁止修改控制面板中提供的所有设置。

最后一种是通过开始的设置菜单中打开网络和拨号连接，对此我们同样可以在组策略中选择“用户配置—管理模板—网络和拨号连接”，然后将“从开始菜单删除网络和拨号连接”项启用即可。

二、对菜鸟隐藏本地连接图标当网络连接正常时，会在系统任务栏右侧显示出本地连接的小图标，其样子就是两台小电脑，很多菜鸟用户就是通过这个来修改IP地址的。

因为鼠标只要双击图标，即可快速打开本地连接窗口，然后进行IP地址修改。

因此，如果我们将该图标隐藏起来，那么就可以阻止很多初级用户私自修改IP.在桌面上右击“网上邻居”图标，在弹出的菜单中选择“属性”命令，在打开的网络和拨号连接窗口中即可看到本地连接图标。

右击本地连接图标，在弹出的菜单中选择“属性”，这样就打开了本地连接的属性窗口，在该窗口“常规”标签的底部将“连接后在通知区域显示图标”项取消，再单击“确定”按钮保存设置，这样任务栏上的本地连接状态图标就不见了。

虽然这样简单的一个步骤，但却可以让50%以上的用户不知道怎么去修改IP了。

广州禾信仪器股份有限公司文件编号公司内网 IP 地址管理办法版本 / 修订次页次编制袁小军审核批准日期一、目的为规范公司内网所属IP地址的管理和分配，保障网络安全运行和发展，更好地为公司服务，特制定本办法。

二、适用范围本办法适用于广州总公司。

三、地址管理1、公司内网 IP 地址由公司人事行政部负责规划、分配和管理。

2、公司内网 IP 地址将使用静态固定方式分配。

3、公司将详细记录每个IP 的使用地点、使用人姓名、对应的设备固定资产编号等信息。

四、相关责任1、公司使用静态固定方式管理内网 IP 地址，并将 IP 地址和上网计算机的网卡 MAC地址绑定，避免 IP 地址分配冲突、混乱和管理无序，实现一机一 IP 地址。

若更换网卡后，必须通知人事行政部。

2、 IP 地址按部门分段，由人事行政部统一分配。

调整电脑使用或新增电脑由人事行政部负责分配IP 地址。

3、用户必须严格使用人事行政部所分配的IP 地址，禁止自行改动。

擅自改动IP 地址的行为将被视为盗用IP 地址。

4、各部门（个人）不得挪用、转让公司内网所拥有的IP地址。

在 IP 地址使用人更换时，应及时向公司报告备案。

5、在局域网内部严禁盗用IP 地址，盗用行为包括：使用未经分配的 IP 地址、使用已分配给他人的IP 地址。

盗用行为一经查实，将给予暂停网络、通报批评处理。

6、服务器的IP 地址请报人事行政部来统一分配。

7、对产生异常情况（如：产生异常流量的IP地址、被盗用的 IP地址、计算机受到病毒影响等）的IP地址进行关停。

情节严重的，公司将停止其相应网络连接或信息服务。

8、禁止私自安装DHCP服务器（包含可以分配IP 地址的无线网络分享软件），违反此规定一律暂停网络。

9、用户必须对其使用网络的行为所产生的严重后果承担法律责任，部门负责人对其要有监督管理责任。

10、因违反本管理办法而被停止网络使用权的IP 地址，在完成整改并经公司审核后方可重新开通使用。

电信如何禁止路由上网及如何破解ADSL共享上网有两种方式，一种是代理，一种是地址翻译（NAT），大家常说的路由方式其实就是NAT方式，其实路由和NAT的原理还是有区别的，这里不作讨论，现在的ADSL猫一般都有NAT的功能，用它本身的功能实现共享上网是比经济方便，本文主要讨论这种方式。

要想阻断一台以上的计算机上网必须能发现共享后边的机器是否多于一台，NAT的工作原理如图一所示，经过NAT转换后访问外网的内网的计算机的地址都变成了192.168.0.1而且MAC地址也转换成了ADSL的MAC地址，也就是说，从原理上讲，直接在ADSL出口抓经过NAT转换的包是不能发现到底有几台机器在上网。

那是如何发现的呢？经过研究发现它是采用多种方法探测用户是否用共享方式上网，从而进行限制，下面分别进行破解:一.检查同一IP地址的数据包中是否有不同的MAC地址，如果是则判定用户共享上网。

破解的办法是把每台机的MAC地址改为一样.修改的方法如下:首先要获取本机的MAC：MAC地址是固化在网卡上串行EEPROM中的物理地址，通常有48位长。

以太网交换机根据某条信息包头中的MAC源地址和MAC目的地址实现包的交换和传递。

⑴在Windows 98/Me中，依次单击“开始”→“运行” →输入“winipcfg”→回车。

⑵在Windows 2000/XP中，依次单击“开始”→“运行”→输入“CMD”→回车→输入“ipconfig /all”→回车。

或者右键本地连接图标、选择状态然后点击支持选项卡，这里“详细信息”中包含有MAC和其它重要网络参数。

1、如果你的网卡驱动有直接提供克隆MAC地址功能,如RealTek 公司出的RTL8139芯片，那恭喜你了,点击“开始→设置→控制面板”，双击“网络和拨号连接”，右键点击需要修改MAC地址的网卡图标，并选择“属性”。

在“常规”选项卡中，点击“配置”按钮，点击“高级”选项卡。

在“属性” 区，你应该可以看到一个称作“Network Address”或“Locally Administered Address”的项目，点击它，在右侧“值”的下方，输入你要指定的MAC地址值。

如何配置AR路由器限制用户上网（Web方式）文档版本01发布日期2020-12-29版权所有 © 华为技术有限公司 2020。

保留一切权利。

非经本公司书面许可，任何单位和个人不得擅自摘抄、复制本文档内容的部分或全部，并不得以任何形式传播。

商标声明和其他华为商标均为华为技术有限公司的商标。

本文档提及的其他所有商标或注册商标，由各自的所有人拥有。

注意您购买的产品、服务或特性等应受华为公司商业合同和条款的约束，本文档中描述的全部或部分产品、服务或特性可能不在您的购买或使用范围之内。

除非合同另有约定，华为公司对本文档内容不做任何明示或默示的声明或保证。

由于产品版本升级或其他原因，本文档内容会不定期进行更新。

除非另有约定，本文档仅作为使用指导，本文档中的所有陈述、信息和建议不构成任何明示或暗示的担保。

华为技术有限公司地址：深圳市龙岗区坂田华为总部办公楼邮编：518129网址：https://客户服务邮箱：support@客户服务电话：4008302118如何配置AR路由器限制用户上网（Web方式）目录目录1 如何配置AR路由器限制用户上网（WEB方式） (1)1.1 常见的限制用户上网场景 (1)1.2 配置AR路由器限制用户上网的前提条件 (2)1.3 配置AR路由器限制内网用户上网 (2)1.3.1 限制用户的IP地址 (2)1.3.2 限制用户的MAC地址 (6)1.3.3 限制用户的VLAN (11)1.4 限制用户上网相关信息 (16)1如何配置AR路由器限制用户上网（WEB方式）1.1 常见的限制用户上网场景1.2 配置AR路由器限制用户上网的前提条件1.3 配置AR路由器限制内网用户上网1.4 限制用户上网相关信息1.1 常见的限制用户上网场景根据企业对内部员工上网权限的要求不同，本文总结了几种常见的限制用户上网场景，如表1-1所示。

表1-1常见的限制用户上网场景1.2 配置AR路由器限制用户上网的前提条件●已通过Web方式登录AR路由器。

怎么禁止局域网互相访问计算机技术已经发展数十年,网络技术应用到日常办公中也有一段时间了,随着局域网的逐步普及,更多无线技术应用到局域网体系中，局域网也遍布工作和生活中，那么你知道怎么禁止局域网互相访问吗?下面是店铺整理的一些关于禁止局域网互相访问的相关资料，供你参考。

禁止局域网互相访问的方法：1.直接断开连接来禁止访问电脑。

断开来访者的连接。

单击工具栏上的【显示用户】按钮，选中恶意来访者，单击菜单栏的【管理】，选择【断开用户连接】即可。

2.设置本机不共享文件.找到自己的共享文件夹,设置成不共享.直接关闭来访者打开的文件。

单击工具栏上的【显示共享的文件夹】，选中欲关闭的文件，单击菜单栏的【管理】，选择【关闭文件】即可,这样也可以禁止局域网用户访问电脑。

3.停止共享或用密码来限制来访者的访问权限。

单击工具栏上的【显示共享的文件夹】按钮，选中需管理的文件夹，单击菜单栏的【管理】，选择【停止共享】即可取消该文件夹的共享。

4.为共享添加密码若不希望停止共享，又要限制用户的访问，可以选择【共享文件夹的属性】为共享文件添加密码，限制未经授权的用户的访问。

需要注意的是，设置好密码后，必需断开已连接用户的连接后，密码方能起作用。

5.通过局域网接入管理软件来实现。

对于公司局域网中，如果想禁止局域网电脑访问服务器共享文件，或者阻止外来电脑接入公司局域网，然后访问局域网服务器共享文件或访问局域网其他电脑，或者访问互联网。

则可以考虑通过部署专业的局域网接入控制软件来实现。

例如，有一款“大势至内网安全卫士”(百度搜索“大势至内网安全卫士”即可下载)，就可以阻止外来电脑访问公司局域网共享文件或者访问局域网其他电脑，也可以阻止外来电脑上网，从而可以防止蹭网;同时，大势至内网安全卫士甚至还可以阻止公司局域网内部电脑访问服务器或其他电脑，甚至也可以阻止内网电脑上网，从而实现对局域网内部电脑的隔离控制，便于实现特殊的网络控制。

如下图所示：此外，大势至内网安全卫士还可以检测局域网手机、禁止手机无线上网、检测局域网无线路由器、禁止局域网修改IP地址和MAC地址、检测局域网混杂网卡、防止网络嗅探、禁止网络抓包等功能，从而可以实现局域网全方位的网络管理。

如何通过网络IP地址伪装实现匿名上网网络上的匿名性对于一些用户而言非常重要，无论是保护个人隐私还是规避地理限制，伪装IP地址可以帮助用户在互联网上实现匿名上网。

本文将介绍如何通过网络IP地址伪装来实现匿名上网的方法。

一、使用虚拟私人网络（VPN）虚拟私人网络（Virtual Private Network）是一种通过在用户与网络之间创建加密隧道的方式，使用户可以通过VPN服务器访问互联网。

通过连接到VPN服务器，用户的真实IP地址会被隐藏，取而代之的是VPN服务器的IP地址。

这样一来，用户在与互联网上进行通信时就不会暴露自己的真实IP地址，从而实现匿名上网。

二、使用代理服务器代理服务器是一种充当客户端和目标服务器之间中间人角色的服务器。

用户可以通过配置代理服务器，将自己的网络请求通过代理服务器中转，从而隐藏自己的真实IP地址。

代理服务器可以分为匿名代理和透明代理，选择合适的代理服务器类型可以更好地保护个人隐私。

三、使用Tor网络Tor网络是一种基于匿名性的网络，它通过将用户的网络流量经过多个节点的加密中转来隐藏用户的真实IP地址。

当用户通过Tor网络访问互联网时，每个节点只知道前一个节点和后一个节点的信息，而不知道源和目标的真实IP地址。

这种多重加密的方式使得用户在互联网上可以实现高度匿名的上网体验。

四、使用动态IP地址动态IP地址是由互联网服务提供商（ISP）动态分配给用户的IP地址。

与静态IP地址不同，动态IP地址在用户重新连接网络时会更改，从而使得用户的真实IP地址更难被追踪。

用户可以定期重新连接互联网，以更改自己的IP地址，从而达到伪装IP地址的效果。

需要注意的是，通过伪装IP地址实现匿名上网并不代表完全无法被追踪。

高级的追踪技术和监控系统仍然有可能追溯到用户的真实IP 地址。

因此，在进行涉及敏感信息或违法行为的网络活动时，用户还是需要谨慎，并采取其他安全措施来保护自己的个人隐私。

总结起来，通过使用虚拟私人网络、代理服务器、Tor网络或动态IP地址，用户可以有效地伪装自己的IP地址，从而实现匿名上网的目的。