局域網(wǎng)網(wǎng)絡(luò)管理中經(jīng)常出現(xiàn)的一個(gè)問(wèn)題是：電腦隨意更改IP地址、修改IP地址的行為，導(dǎo)致局域網(wǎng)IP地址沖突的現(xiàn)象經(jīng)常出現(xiàn)。同時(shí)，更改IP地址，尤其是修改成局域網(wǎng)其他電腦的IP地址（如領(lǐng)導(dǎo)的電腦等）還會(huì)使得訪問(wèn)者具有了更高的訪問(wèn)網(wǎng)絡(luò)資源的權(quán)限，從而引發(fā)網(wǎng)絡(luò)安全風(fēng)險(xiǎn)，進(jìn)行影響了單位的無(wú)形資產(chǎn)和商業(yè)機(jī)密的安全。為此，我們需要禁止電腦修改IP地址、禁止更改IP地址的行為，以保護(hù)網(wǎng)絡(luò)安全。

那么，我們?nèi)绾伪Ｗo(hù)局域網(wǎng)網(wǎng)絡(luò)安全、防止局域網(wǎng)用戶隨意修改IP地址的行為呢？筆者以為，可以通過(guò)以下兩種方式來(lái)禁止電腦修改IP地址的行為：

一、通過(guò)進(jìn)行IP和MAC地址綁定、捆綁IP和MAC地址的行為來(lái)禁止電腦修改IP地址、阻止更改IP地址的行為。

綁定IP和MAC地址的設(shè)置較為簡(jiǎn)單，例如通過(guò)命令即可實(shí)現(xiàn)。例如我的IP是192.168.1.11，網(wǎng)卡的MAC地址是00-11-2F-3F-96-88(如何看到自己的MAC地址呢？在命令行下輸入ipconfig /all， 回應(yīng)如下： 

Physical Address. . . . . . . . . : 00-11-2F-3F-96-88 

DHCP Enabled. . . . . . . . . . . : No 

IP Address. . . . . . . . . . . . : 192.168.1.11 

Subnet Mask . . . . . . . . . . . : 255.255.255.0 

Default Gateway . . . . . . . . . : 192.168.1.1 

DNS Servers . . . . . . . . . . . : 61.177.7.1 

Primary WINS Server . . . . . . . : 192.168.1.254 

這些信息就是你現(xiàn)在計(jì)算機(jī)的IP地址及MAC地址！ 

接著，在命令行下輸入：arp -s 192.168.1.11 00-11-2F-3F-96-88回車，就綁定了。 

如果要查看是否綁定，可以用arp -a 192.168.1.11回車，會(huì)得到如下提示： 

Internet Address Physical Address Type 

192.168.1.30 　　00-11-2f-3f-96-88 static 就OK了。 

如果要?jiǎng)h除呢？命令行下輸入：arp -d 192.168.1.30 就刪除了。 

綁定網(wǎng)關(guān): 

arp -s 192.168.1.1 xx-xx-xx-xx-xx(網(wǎng)關(guān)的mac地址) 

查看自己的IP地址和網(wǎng)卡的MAC地址。對(duì)于Windows 98/Me，運(yùn)行“winipcfg”，在對(duì)話框看的IP地址就是，而“適配器地址”就是網(wǎng)卡的MAC地址。在Windows 2000/XP系統(tǒng)下，要在命令提示符下輸入“ipconfig /all”，顯示列表中的“Physical Address”就是MAC地址，“IP Address”就是IP地址；要將二者綁定，輸入“arp -s IP地址 MAC地址”，如“arp -s 192.168.0.28 54-44-4B-B7-37-21”即可。

二、通過(guò)專門的局域網(wǎng)網(wǎng)絡(luò)管理軟件、上網(wǎng)行為控制軟件來(lái)綁定局域網(wǎng)電腦IP地址和MAC地址，防止隨意修改IP地址的行為。

目前國(guó)內(nèi)有很多局域網(wǎng)控制軟件、網(wǎng)管監(jiān)控軟件，一般都有IP和MAC地址綁定的功能。通常，通過(guò)此類網(wǎng)管軟件可以輕松掃描到局域網(wǎng)電腦IP地址和MAC地址，然后點(diǎn)點(diǎn)鼠標(biāo)就可以實(shí)現(xiàn)綁定。例如，有一款“聚生網(wǎng)管”軟件（下載地址：http://www.grabsun.com/soft.html），只需要在局域網(wǎng)一臺(tái)電腦安裝，就可以掃描到局域網(wǎng)所有電腦的IP地址和MAC地址，然后點(diǎn)點(diǎn)鼠標(biāo)就可以綁定了，綁定之后局域網(wǎng)電腦將無(wú)法修改IP地址和MAC地址，一旦修改之后就無(wú)法上網(wǎng)，從而阻止了電腦修改IP地址的行為，如下圖所示：

圖：進(jìn)行IP和MAC綁定

   同時(shí)，通過(guò)“聚生網(wǎng)管”軟件還可以檢測(cè)局域網(wǎng)ARP攻擊行為，一旦發(fā)現(xiàn)局域網(wǎng)ARP攻擊行為，將自動(dòng)輸出攻擊者的IP地址和MAC地址，從而便于網(wǎng)管員及時(shí)排查攻擊源主機(jī)，保護(hù)局域網(wǎng)網(wǎng)絡(luò)安全。如下圖所示：

圖：輸出ARP攻擊

    總之，無(wú)論是通過(guò)操作系統(tǒng)的自帶的IP和MAC地址綁定命令，還是借助于專門的局域網(wǎng)網(wǎng)絡(luò)管理軟件都可以實(shí)現(xiàn)局域網(wǎng)IP和MAC地址綁定功能，只不過(guò)相對(duì)于通過(guò)命令進(jìn)行IP和MAC綁定的操作，通過(guò)網(wǎng)管監(jiān)控軟件進(jìn)行IP和MAC地址綁定操作更為簡(jiǎn)單，也更為人性化。具體采用何種方式，企事業(yè)單位可以根據(jù)自己的需要進(jìn)行抉擇。

最新評(píng)論