我的地盘我做主　局域网的访问控制浅析.docVIP

　　我的地盘我做主　局域网的访问控制浅析～教育资源库 　　如何封IP？ 　　作为一个网络管理员，恐怕最头疼的就是内网用户上网时不注意，经常会中各种各样的病毒，或者下载各种各样的软件，这样对整个局域网的安全造成很大的隐患。另外，单位的领导也不希望员工在上班时间聊天、游戏，影响工作效率。在这样的情况下，就要求网管限制不同用户的上网权限，我们今天就来谈谈如何封IP、IM聊天软件限制下载，甚至是禁止内网用户上网等等。 　　我们先来说说如何封IP地址。大家上网随便搜索一下，就会发现有很多的方法来封IP地址，但是同样也有很多方法来破解。下面要i++) { 　　　　　if (((int)$ret_ip1[$i] (int)$ret_mask[$i]) != ((int)$ret_ip2[$i] (int)$ret_mask[$i])) { 　　　　　　　　return false; 　　　　　} 　　} 　　return true; } ?gt;　　其中： 　　$client_ip：客户端IP 　　$ip_pattern：你封锁的IP 　　$mask：掩码 　　返回true，说明该IP已经封锁。 　　限制BT等P2P软件下载 　　BT下载正给越来越多的企业办公带来危害，而公众网、电信网中的BT下载，同样也正在吞噬着运营网络带宽。一旦出现第一颗种子(下载源)，大量的BT用户就会跟进，形成大规模的BT下载网络。与点到点不同的是，这种群体生存网络，虽然体现了互联网的自由，但是同样也反映出互联网的无序。而当这种无序性扩散到企业网和电信网中，则变成无法容忍的干扰。限制浏览BT网站。BT网站很多，但考虑到BT下载的特点:下载的人数越多，速度越快;Seed越多，速度越快。只有比较热门BT网站的Torrent文件下载的人才会比较多，一般的BT网站去的人就比较少，下载的人数也少，除非他能忍受每秒几K的速度。 因此针对比较热门的BT网站，在安全网关上配置URL过滤规则，之后，在出接口上启用过滤Http_Filter功能，禁止对它们的访问即可。 禁止访问Tracker服务器。 　　封闭BT下载端口。解决BT对局域网的危害，最彻底的方法是不允许进行BT下载，BT一般使用TCP的6881～6889的端口，网络管理员可以根据网络流量的变化进行判断，在网关中将特定的种子发布站点和端口封掉，在BT下载软件中的Track中可以获得这些信息;但是现在大多数BT软件可以修改端口号，因此网管可以根据实际情况，在不影响正常业务的情况下尽可能将封闭的端口范围扩大，把一些特定的种子发布站点和端口进行封闭。 　　限制用户带宽。BT之所以会危害到局域网，是因为它占用了大量网络带宽。因此，限制每个用户使用的网络带宽，可以明显缓解BT对网络的危害;同时对于一些运营性网络，完全禁止BT使用是不合理的，限制每个BT的使用带宽就成为一个比较好的选择。网络管理员可以通过一些管理软件或者网络硬件配置，针对应用流进行较细粒度的速率限制，例如将BT用户下载的优先级限制为5(0最高，7最低)，带宽限制为64Kbps。这样可以确保BT软件使用的同时不会影响其他业务的开展。 　　如何禁止用户上网 　　在ISA Server 2004中，禁止客户上网是很简单的事情，你可以通过禁止IP和禁止用户两方面来进行设置。这篇文章中讨论的是使用IP地址来禁止某些客户上网，适合于IP地址固定的环境。 　　在访问规则的设置上，又可以分为隐性禁止和显式禁止两种。隐性禁止就是不明确允许客户访问外部网络，适合于严格定义策略的环境，如在策略中只允许某些客户上网，那么其他客户就自然不能上网了。显式禁止则是明确禁止某些客户访问外部网络，适合于在宽松定义策略的环境中禁止某些客户不能上网。如果使用IP地址来禁止，表现就为是否明确这个IP上网或者是否明确禁止这个IP上网。 　　下面就以明确禁止客户上网来给大家讲讲如何进行设置。 　　禁止IP，这个适合于固定IP配置的用户，操作步骤如下： 　　1、对需要禁止上网的客户新建一个地址集或者计算机集； 　　2、对这些禁止的客户需要访问的目的地址新建一个地址范围或域名集；当然对于完全禁止这个客户上网，那么这一步可以省略，使用ISA自带的外部网络就可以了。 　　3、在防火墙策略中新建一个访问规则； 　　我们以客户机IP为1为例，先设置策略禁止它访问外部网络，然后设置策略禁止它访问YAHOO网站，不过可以访问其他网站。 　　首先在防火墙策略右边的工具箱里面点开网络对象，然后右击计算机集，然后选择新建计算机集； 　　 　　图1 　　然后在新建计算机集 123下一页 友情提醒：，特别！对话框上点击添加，然后选择计算机；