網路設備怎麼封堵

① 如何限制辦公室電腦上網

限制辦公室電腦上網必須從以下幾個方面入手：
首先，針對有些單位要限制電腦上網、控制電腦上網時間的情況。可以通過一些上網行為管理設備，如上網行為管理路由器來實現。一些帶有上網行為管理功能的路由器大都提供了一些簡單的電腦網路控制功能，可以限制電腦上班玩游戲、看視頻、網購、限制P2P下載、禁止聊天等，同時也提供了控制上網時間的功能。
但是，由於路由器核心功能是為區域網提供上網路由的功能，如果設置較多的過濾和控制策略，則會佔用路由器較多的資源（如路由器的CPU和內存），從而影響路由器數據包轉發、提供上網功能的性能，容易導致路由器負荷過大而死機，從而影響網路的穩定和暢通。
此外，路由器控制區域網電腦上網功能大都是通過基於封堵埠、過濾IP地址的方式來實現的，這使得對於一些復雜的網路應用，如迅雷、QQ游戲、股票軟體、聊天軟體等，由於伺服器IP地址眾多、通訊埠也可以自動切換，使得無法對這些網路應用進行有效的封堵，從而無法幫助網管員實現網路管理的目的，而只能實現一些簡單網路行為管理，如網頁瀏覽、上網時間控制等。
其次，可以藉助一些專業的上網行為管理軟體來實現。當前，國內有很多面向企事業單位的網路行為管理系統，可以完全實現區域網網路行為控制的目的。同時，由於網路管理軟體大都採用了深度數據包檢測（DPI）和深度流量檢測（DFI），使得對各種網路應用的封堵更為有效。
例如，當前國內使用較多的「聚生網管」（下載地址請點擊），只需要在公司區域網一台電腦安裝後就可以掃描區域網所有電腦，可以控制所有電腦的P2P下載（尤其是可以完全禁止迅雷下載、限制PPS影音、禁止QQlive、限制PPlive網路電視等）、炒股、聊天、玩游戲（可以完全禁止QQ游戲、征途游戲、聯眾游戲、屏蔽一切網頁游戲）、看視頻的行為；同時，還可以禁止員工網購、實時控制區域網網路流量、限制區域網網速等

② 企業網路常見的攻擊手法和防護措施

隨著Internet/Intranet技術的飛速發展和廣泛應用，網路安全問題愈來愈突出，已成為當前的一大技術熱點。黑客技術的公開和有組織化，以及網路的開放性使得網路受到攻擊的威脅越來越大。而企業對這一問題嚴重性的認識和所具備的應付能力還遠遠不夠。加上管理不當，應用人員水平參差不齊，沒有有效的方式控制網路的安全狀況，企業理想中的安全與實際的安全程度存在巨大的差距。

1、網路安全面臨的威脅

（1）、人為的無意失誤，如操作員安全配置不當造成的安全漏洞，用戶安全意識不強，用戶口令選擇不慎，用戶將自己的帳號隨意轉借他人或與別人共享等都會對網路安全帶來威脅。

（2）、人為的惡意攻擊，來自內部的攻擊者往往會對內部網安全造成最大的威脅，因為他們本身就是單位內部人員，對單位的業務流程，應用系統，網路結構甚至是網路系統管理非常熟悉，而這些人員對Intranet發起攻擊的成功率可能最高，造成的損失最大，所以這部分攻擊者應該成為我們要防範的主要目標。

（3）、網路軟體的漏洞和「後門」網路軟體不可能是百分之百的無缺陷和無漏洞的，這些漏洞和缺陷恰恰是黑客進行攻擊的首選目標。曾經出現過的黑客攻入網路內部的事件大部分就是因為安全措施不完善所招致的苦果。另外，軟體的「後門」都是軟體公司的設計編程人員為了自便而設置的，一般不為外人所知，可一旦「後門」洞開，其造成的後果將不堪設想。

（4）、互聯網路的不安全因素，國際互聯網路是跨越時空的，所以安全問題也是跨越時空的。雖然我們國家的網路不發達，但是我們遭到的安全危險卻是同國外一樣的，這是一個很嚴重的問題。在不同的行業，所遭受的攻擊因行業和網路服務的不同而不同。在電信或者ICP市場，進攻服務系統比較多；而在銀行業，對數據系統的進攻相對更頻繁；政府方面，對服務的進攻，尤其是其信息發布系統很頻繁。

（5）、病毒入侵，目前，網路病毒種類繁多，病毒很容易通過互聯網或其他途徑（如通過各接入點、日常維護操作、磁碟、其他外網）進入網路內部各伺服器，造成網路擁塞、業務中斷、系統崩潰。而現在流行的各種新型網路病毒，將網路蠕蟲、計算機病毒、木馬程序合為一體，發展到融和了多種技術於一體，互相利用和協同，已不僅僅是單一的攻擊和漏洞利用，使系統自身防不勝防。病毒發作對系統數據的破壞性、和系統本身都將會造成很大的影響。

2、網路攻擊的一般方法

從黑客的角度來看，黑客可以利用的方式多種多樣，包括：

（1）使用探察軟體，猜測和分析操作系統類別、網路提供服務、網路的結構等；

（2）使用強制攻擊軟體對網路進行攻擊，例如針對POP的強行的密碼猜解，SQL的密碼猜解等；

（3）使用漏洞掃描工具，發現漏洞，進而採用緩存溢出等手段直接或者間接的獲取系統超級用戶許可權；如系統平台自身由於漏洞被黑客利用，將直接導致全廠業務服務的中斷。

（4）使用木馬進行非法連接；

（5）利用疏忽的資料庫簡單配置，例如超級管理員密碼簡單甚至為空或者用戶密碼和用戶名相同等漏洞，獲取資料庫的某些許可權，進而獲得系統的許可權。

（6）利用可信任的關系進行攻擊，例如深圳電信網站的某些資料庫設定的訪問地址，這樣黑客可以先攻擊這些被資料庫信任的地址進行逐「跳」的攻擊。

（7）DDOS攻擊，使用各種工具進行洪水攻擊；利用漏洞的拒絕服務攻擊。

3、企業網路安全防護措施

根據企業網路系統的實際防護需要，必須保護的內容包括：Web主機（門戶網站、OA系統等基於Web訪問的主機），資料庫主機，郵件伺服器等，網路入口，內部網路檢測。對企業重要的是有效防護Web伺服器的非法訪問和網頁被非法修改，防護資料庫伺服器數據被非授權用戶非法訪問或被黑客篡改、刪除。一旦發現伺服器遭入侵或網頁被篡改，能進行及時報警和恢復處理。

（1）防火牆，在外部網路同內部網路之間應設置防火牆設備。如通過防火牆過濾進出網路的數據；對進出網路的訪問行為進行控制和阻斷；封堵某些禁止的業務；記錄通過防火牆的信息內容和活動；對網路攻擊的監測和告警。禁止外部用戶進入內部網路，訪問內部機器；保證外部用戶可以且只能訪問到某些指定的公開信息；限制內部用戶只能訪問到某些特定的Intenet資源，如WWW服務、FTP服務、TELNET服務等；防火牆產品本身具有很強的抗攻擊能力。使用硬體防火牆，管理和維護更加方便有效。

（2）、入侵檢測系統，企業內部主機操作系統種類一般在兩種以上，而目前漏洞攻擊手法大部分是基於操作系統已有的安全漏洞進行攻擊，通過使用防火牆設備可以防範大部分的黑客攻擊，但是有些攻擊手法是通過防火牆上開啟的正常服務來實現的，而且防火牆不能防範內部用戶的惡意行為和誤操作。通過使用入侵檢測系統，可以監視用戶和系統的運行狀態，查找非法用戶和合法用戶的越權操作；檢測系統配置的正確性和安全漏洞，並提示管理員修補漏洞；對用戶非法活動的統計分析，發現攻擊行為的規律；檢查系統程序和數據的一致性和正確性；能夠實時對檢測到的攻擊行為進行反應。

（3）網路漏洞掃描入侵者一般總是通過尋找網路中的安全漏洞來尋找入侵點。進行系統自身的脆弱性檢查的主要目的是先於入侵者發現漏洞並及時彌補，從而進行安全防護。由於網路是動態變化的：網路結構不斷發生變化、主機軟體不斷更新和增添；所以，我們必須經常利用網路漏洞掃描器對網路設備進行自動的安全漏洞檢測和分析，包括：應用伺服器、WWW伺服器、郵件伺服器、DNS伺服器、資料庫伺服器、重要的文件伺服器及交換機等網路設備，通過模擬黑客攻擊手法，探測網路設備中存在的弱點和漏洞，提醒安全管理員，及時完善安全策略，降低安全風險。

（4）、防病毒系統要防止計算機病毒在網路上傳播、擴散，需要從Internet、郵件、文件伺服器和用戶終端四個方面來切斷病毒源，才能保證整個網路免除計算機病毒的干擾，避免網路上有害信息、垃圾信息的大量產生與傳播。單純的殺毒軟體都是單一版系統，只能在單台計算機上使用，只能保證病毒出現後將其殺滅，不能阻止病毒的傳播和未知病毒的感染；若一個用戶沒有這些殺毒軟體，它將成為一個病毒傳染源，影響其它用戶，網路傳播型病毒的影響更甚。只有將防毒、殺毒融為一體來考慮，才能較好的達到徹底預防和清除病毒的目的。

因此，使用網路防、殺毒的全面解決方案才是消除病毒影響的最佳辦法。它可以將進出企業網的病毒、郵件病毒進行有效的清除，並提供基於網路的單機殺毒能力。網路病毒防護系統能保證病毒庫的及時更新，以及對未知病毒的稽查。另外，要提高網路運行的管理水平，有效地、全方位地保障網路安全。

4、企業網路安全解決方案

廣義的計算機系統安全的范圍很廣，它不僅包括計算機系統本身，還包括自然災害（如雷電、地震、火災等），物理損壞（如硬碟損壞、設備使用壽命到期等），設備故障（如停電、電磁干擾等），意外事故等。

狹義的系統安全包括計算機主機系統和網路系統上的主機、網路設備和某些終端設備的安全問題，主要針對對這些系統的攻擊、偵聽、欺騙等非法手段的防護。以下所有的計算機系統安全均是狹義的系統安全范疇。規劃企業網路安全方案，要根據企業的網路現狀和網路安全需求，結合網路安全分析，一是需要加強對網路出口安全方面的控制和管理，防止安全事故的發生；二是加強內部網路訪問控制，以業務分工來規劃網路，限制網路用戶的訪問范圍；同時增加網路安全檢測設備，對用戶的非法訪問進行監控。我們建議，企業的安全解決方案一般應有下面一些做法：

（1）在Internet接入處，放置高性能硬體防火牆（包括防火牆+帶寬管理+流探測+互動IDS等）。防火牆要支持包過濾和應用級代理兩種技術，具有三種管理方式，能夠很方便的設置防火牆的各種安全策略，並且能夠與網路入侵檢測系統進行互動，相互配合，阻擋黑客的攻擊。

（2）在內網快速以大網交換機上連接一個網路入侵檢測系統，對進入內網的數據包進行檢查，確保沒有惡意的數據包進入，從而影響內網數據伺服器的正常工作。

（3）使用互聯網入侵檢測系統對DMZ區和內網的伺服器（包括Web伺服器/應用伺服器、數據伺服器、DNS伺服器、郵件伺服器和管理伺服器等），以及桌面計算機進行掃描和評估，進行人工安全分析，以確定其存在的各種安全隱患和漏洞，並根據掃描的結果提出加固建議，保護企業網路系統的正常工作。

（4）在各主要伺服器上安裝伺服器防病毒產品，對伺服器進行病毒防護，確保病毒不會進入各伺服器，並且不會通過伺服器進行傳播。

（5）用一台專用的PC伺服器安裝伺服器防病毒系統，並在內網上安裝工作站防病毒產品，通過伺服器防病毒系統對這些工作站進行管理和升級。

③ 限制區域網電腦流量的幾種方法

一、可以為區域網的電腦設定上網許可權來限制計算機流量。 比如，你可以通過區域網的上網設備，如路由器限制電腦流量或者通過交換機限制流量。具體實現方式如下：現在的路由器都集成了防火牆功能，比如通過IP地址過濾、MAC地址過濾或者其他過濾方式來實現只允許區域網某一台或者某些電腦上網，而其他電腦是則被禁止上網。 但是，你可以將區域網運行上網的IP或者MAC地址添加到允許上網的主機表裡面，然後啟動路由器的防火牆功能，那麼這些電腦就可以上網了，而其他電腦就無法上網了，通過對不必要上網的電腦進行限制以此來實現對網路資源、網路流量的控制與合理分配，可以很好地將網路資源充分分配給區域網的關鍵應用，從而最大程度上保證企業正常業務所需要的網路流量，最大程度上提升網路資源的使用效率。此外通過防火牆允許或者限制區域網某些電腦上網的方法與此類似。 另外，如果交換機是可管理的網管交換機，一般還支持帶寬和流量的限制功能，通過交換機限制主機流量或者限制主機帶寬也是一個可以借鑒的方法。 二、嚴格規范上網行為，杜絕不合理的網路應用。 仔細分析一下我們可以知道，當前不合理的佔用帶寬的行為主要有：P2P下載、P2P視頻、在線視頻、在線電影、網路游戲、股票軟體、以及各種各樣的下載，想要有效地控制這些不合理的應用，可以從根源上分配電腦流量。 我們可以通過各種方式來限制上述這些不合理的網路行為。比如通過防火牆、交換機ACL規則或者路由器的ACL訪問控制列表，對P2P工具的埠、在線視頻的傳輸埠、股票軟體埠和網路游戲的埠進行限制，並且可以限制其伺服器的IP地址、禁止其採用的傳輸協議通過等等方式。此外，還可以從總流量加以限制，例如，指定區域網計算機流量，比如一天的日流量等方式，如果客戶端超過此流量則自動就斷開公網連接，從而從總體上限制了區域網用戶的流量佔用。 另外，國內還有一些專門的上網行為管理軟體，如國內領先的天易成網管系統，在限制P2P流量、在線視頻傳輸、網路游戲和股票軟體等方面具有明顯的優勢，相對於其他的封堵方式，這種監控軟體操作更為簡單，安裝在區域網的任意一台電腦，通過點點滑鼠就可以限制區域網幾乎所有主機的上網行為。 三、建立相應的規章制度和獎懲制度。 無論採用何種限制區域網用戶流量的方式，都不可能做到盡善盡美，所以企事業單位最好還是建立一些相應的上網管理制度。

④ 無線路由器怎麼封蹭網的IP

路由器里有個叫mac地址過濾的功能，你找一下，會找到的。把蹭網的人的設備mac地址添加到禁止訪問列表就可以了。參考下圖：

這個是tp-lin路由器的界面，跟你的路由器界面有點不一樣，不過功能是一樣的。

⑤ 企業網路改造中，請求高手給點建議或方案，謝謝！

要想讓你的網路安全穩定你就是加上最好的防火牆（主要防止外部攻擊，對內網的基礎安全沒有起到作用）、路由器（負責數據包的轉發，更沒有安全可言了）劃分Vlan（只是減少問題出現幾率不是解決的根本之道）都是沒有用處的，如果要你的網路安全穩定「巡路免疫網路解決方案」是你不錯的選擇。可以參考一下
免疫網路——
免疫網路是企業信息網路的一種安全形式。
「免疫」是生物醫學的名詞，它指的是人體所具有的「生理防禦、自身穩定與免疫監視」的特定功能。
就像我們耳熟能詳的電腦病毒一樣，在電腦行業，「病毒」就是對醫學名詞形象的借用。同樣，「免疫」也被借用於說明計算機網路的一種能力和作用。免疫就是讓企業的內部網路也像人體一樣具備「防禦、穩定、監視」的功能。這樣的網路就稱之為免疫網路。

免疫網路的主要理念是自主防禦和管理，它通過源頭抑制、群防群控、全網聯動使網路內每一個節點都具有安全功能，在面臨攻擊時調動各種安全資源進行應對。
它具有安全和網路功能融合、全網設備聯動、可信接入、深度防禦和控制、精細帶寬管理、業務感知、全網監測評估等主要特徵。
1.安全和網路功能的融合---①網路架構的融合，主要包括網關和終端的融合
網關方面：ARP先天免疫原理—NAT表中添加源MAC地址
濾窗防火牆—封包檢測，IP分片檢查，UDP洪水
終端方面：驅動部分—免疫標記
-②網路協議的融合—行為特徵和網路行為的融合
2.全網設備的聯動—a:驅動與運營中心的聯動(分收策略
b:驅動與驅動的聯動（IP地址沖突
c:網關和驅動的聯動（群防群控
d:運營中心和網關的聯動（外網攻擊，上下線
3.可信接入—1）MAC地址的可信（類似於DNA），生物身份
2）傳輸的可信（免疫標記）
4. 深度防禦和控制—1）深入到每個終端的網卡
2）深入到協議的最低層
3）深入到二級路由，多級路由器下
5. 精細帶寬管理—1）身份精細—IP/MAC的精確
2）位置精確—終端驅動
3）路徑細分（特殊的IP）
4）流量去向（內，公網）
5）應用流控（QQ,MSN）
6.業務感知---協議區分和應用感知

它與防火牆（FW）、入侵檢測系統（IDS）、防病毒等「老三樣」組成的安全網路相比，突破了被動防禦、邊界防護的局限，著重從內網的角度解決攻擊問題，應對目前網路攻擊復雜性、多樣性、更多從內網發起的趨勢，更有效地解決網路威脅。
同時，安全和管理密不可分。免疫網路對基於可信身份的帶寬管理、業務感知和控制，以及對全網安全問題和工作效能的監測、分析、統計、評估，保證了企業網路的可管可控，大大提高了通信效率和可靠性。

巡路免疫網路解決方案——

欣全向公司巡路免疫網路解決方案是在企業網路中實現安全免疫，打造免疫網路的途徑和方法。在目前網路架構不做重大改變的前提下，實施部署巡路免疫網路解決方案，可以順利地將一個普通網路升級為免疫網路。

巡路免疫網路解決方案不是一個單獨的產品，而是一套由軟硬體、內網安全協議、安全策略構成的完整組件。

在巡路免疫網路解決方案中，採用了各種技術手段實現免疫網路的基本要求。比如：
1、通過在接入網關設備中加入安全功能，如ARP先天免疫、內網防火牆、濾窗技術等，實現了網路設備中融合安全功能的要求；
2、通過強制安裝終端免疫驅動，在網路的末端節點進行部署。更重要的是在網卡一級對底層協議也進行管控，實現了深度防禦和控制。
3、通過對全網安全策略組合的綜合設置、預定和學習，實現了主動防禦，對已知和未知的攻擊行為起到抑制、干預，阻止其發作的作用。
4、通過運行在伺服器上的運營中心，對來自網關和終端驅動的報警信息、異常流量、身份核查等進行處理，對網路的運行狀況進行審計評估，還負責安全策略的升級和下發等工作。
5、內網安全和管理協議將接入網關、伺服器、終端驅動等各部分網路設備和安全功能，構成一個完整的體系，實現了全網設備聯動。

巡路免疫網路解決方案的功能特色：
1、 對終端身份的嚴格管理。終端MAC取自物理網卡而非系統，有效防範了MAC克隆和假冒；將真實MAC與真實IP一一對應；再通過免疫驅動對本機數據進行免疫封裝；真實MAC、真實IP、免疫標記三者合一，這個技術手段其他方案少有做到。所以，巡路免疫方案能解決二級路由下的終端偵測和管理、IP-MAC完全克隆、對終端身份控制從系統到封包等其他解決不了或解決不徹底的問題。
2、 終端驅動實現的是雙向的控制。他不僅僅抵禦外部對本機的威脅，更重要的是抑制從本機發起的攻擊。這和個人防火牆桌面系統的理念顯著不同。在受到ARP欺騙、骷髏頭、CAM攻擊、IP欺騙、虛假IP、虛假MAC、IP分片、DDoS攻擊、超大Ping包、格式錯誤數據、發包頻率超標等協議病毒攻擊時，能起到主動干預的作用，使其不能發作。
3、 群防群控是明顯針對內網的功能。每一個免疫驅動都具有感知同一個網段內其他主機非法接入、發生攻擊行為的能力，並告知可能不在同一個廣播域內的免疫運營中心和網關，從而由免疫網路對該行為進行相應處理。
4、 提供的2-7層的全面保護，還能夠對各層協議過程的監控和策略控制。深入到2層協議的控制，是巡路免疫網路解決方案的特有功能。而能夠對各層協議過程的監控和策略控制，更是它的獨到之處。現在普遍的解決方案，基本上是路由器負責 3層轉發，防火牆、UTM等進行3層以上的管理，唯獨缺少對「區域網至關重要的二層管理」，免疫驅動恰恰在這個位置發揮作用。而上網行為管理這類的軟硬體，在應用層進行工作，對2、3層的協議攻擊更是無能為力。
5、 對未知的協議攻擊，能夠有效發揮作用，是真正的主動防禦。
6、 免疫接入網關在NAT過程中，採取了專用演算法，摒棄了其他接入路由器、網關產品需要IP-MAC映射的NAT轉發演算法，將安全技術融於網路處理過程，使ARP對免疫接入網關的欺騙不起作用。這叫做ARP先天免疫，這樣的技術融合還很多。
7、 具有完善的全網監控手段，對內網所有終端的病毒攻擊、異常行為及時告警，對內外網帶寬的流量即時顯示、統計和狀況評估。監控中心可以做到遠程操作。

欣全向目前提供三種產品形式：集成方案、核心方案、整體方案。
核心方案（免疫網關）和集成方案的不同：（以下四點）
（1）連接方式不同 （2）OS不同
（3）後續升級不同 （4）策略開放性不同
免疫牆——
免疫牆技術屬於網路安全行業中的內網安全和管理領域。

乙太網有協議漏洞，不擅長管理，這是網路問題頻發的技術根源。免疫牆技術針對和解決的就是這個問題。

因此，免疫牆技術研究的是如何填補乙太網協議的先天漏洞、如何對業務進行規范化、策略化管理。「網路問題網路解決」是免疫牆技術的指導思想。免疫牆的技術范圍要拓展到網路的最末端，深入到協議的最底層、盤查到外網的出入口、總覽到內網的最全貌，就是希望通過網路本身對網路病毒全面抵禦，同時完善對業務的管理，使網路可控、可管、可防、可觀。

背景資料——

網路攻擊的發展趨勢：
目前網路威脅呈現出復雜性和動態性的特徵，黑客日益聚焦於混合型攻擊，結合各種有害代碼來探測和攻擊系統漏洞，並使之成為僵屍或跳板，再進一步發動大規模組合攻擊。攻擊速度超乎想像，已經按小時和分鍾來計算，出現了所謂大量的零日或零小時攻擊的新未知攻擊。
很多從內網發起的攻擊，不會採用以真實身份單獨進行，而是通過內網的欺騙串聯，偽造身份多點進行。

防火牆的局限性：
現有的各種網路安全技術中，防火牆技術可以在一定程度上解決一些網路安全問題。防火牆產品主要包括包過濾防火牆，狀態檢測包過濾防火牆和應用層代理防火牆，但是防火牆產品存在著局限性。其最大的局限性就是防火牆自身不能保證其准許放行的數據是否安全。同時，防火牆還存在著一些弱點：一、不能防禦來自內部的攻擊：來自內部的攻擊者是從網路內部發起攻擊的，他們的攻擊行為不通過防火牆，而防火牆只是隔離內部網與網際網路上的主機，監控內部網和網際網路之間的通信，而對內部網上的情況不作檢查，因而對內部的攻擊無能為力；二、不能防禦繞過防火牆的攻擊行為：從根本上講，防火牆是一種被動的防禦手段，只能守株待兔式地對通過它的數據報進行檢查，如果該數據由於某種原因沒有通過防火牆，則防火牆就不會採取任何的措施；三、不能防禦完全新的威脅：防火牆只能防禦已知的威脅，但是人們發現可信賴的服務中存在新的侵襲方法，可信賴的服務就變成不可信賴的了；四、防火牆不能防禦數據驅動的攻擊：雖然防火牆掃描分析所有通過的信息，但是這種掃描分析多半是針對IP地址和埠號或者協議內容的，而非數據細節。這樣一來，基於數據驅動的攻擊，比如病毒，可以附在諸如電子郵件之類的東西上面進入你的系統中並發動攻擊。

關於「老三樣」：
國家信息化專家咨詢委員會專家沈昌祥院士認為，首先，由老三樣（防火牆、入侵檢測和病毒防範）為主要構成的傳統信息安全系統，是以防外為重點，而與目前信息安全主要「威脅」源自內部的實際狀況不相符合。其次，從組成信息系統的伺服器、網路、終端三個層面上來看，現有的保護手段是逐層遞減的。人們往往把過多的注意力放在對伺服器和網路設備的保護上，而忽略了對終端的保護。第三，惡意攻擊手段變化多端，而老三樣是採取封堵的辦法，例如，在網路層（IP）設防，在外圍對非法用戶和越權訪問進行封堵。而封堵的辦法是捕捉黑客攻擊和病毒入侵的特徵信息，其特徵是已發生過的滯後信息，不能科學預測未來的攻擊和入侵。
「老三樣，堵漏洞、做高牆、防外攻，防不勝防。」 沈院士這樣概括目前信息安全的基本狀況。老三樣在目前網路安全應用上已經明顯過時了。

免疫網路在技術定位上，與其他安全措施和手段都不相同的一點，就是在網路設備上融合安全功能，讓內網每一個節點都具有安全功能.

對用戶來講，免疫網路能夠滿足用戶的三個需求
1、解決現有網路現象，卡滯、掉線、慢。。。
2、防範未來的威脅，從底層進行安全加固
3、提供對網路治理優化的有效手段

上網行為、防火牆、准入NAC、桌面安全、交換網路安全、其他等
給對方定位、說明在內網基礎安全中無能之處、用免疫網路技術概念引導

⑥ 如何封堵網路電視

聚生網管集成了當前主要的在線視頻網址的控制功能，可以控制高達30餘種當前最具人氣的在線視頻網址，點點滑鼠就可以完全控制對這些網址的訪問，從而杜絕了區域網用戶過量觀看在線視頻對帶寬的大肆佔用。
還可以控制P2P視頻傳輸的功能：可以攔截如PPFilm、PPVod、QQlive、沸點網路電視等等高達12種當前流行的P2P視頻工具。

⑦ 電信封路由是怎麼回事

電信的路由封堵有兩種方式：
第一：徹底的路由表封殺。這一般是用於上級下發的黑名單操作。目前這樣的方式比較少。不過在校園，網路安全設備中常用。大運營商採取這種方式的少。
第二：旁路阻塞。此類方式目前已經在國內各大電信運營商中採用，其原理就是在網路中，通過光分路設備將流量分流到協議分析處理設備中。這樣可以隨時監察違規信息出現，如果發現，則通過向路由器發重定向包來阻斷通訊，以達到封殺的目的。目前的所謂綠網工程全是這類設備乾的。最著名的封殺項目有GOOGLE的CACHE。還有類似F-L-G等網站也都是採用這類方式封殺掉的。
這類方式，對於用戶來說，只是訪問某些地方去不了，而這些地址PING都是通的。這類封殺方式非常適合針對URL域名，而非IP。

⑧ 上網老是被「網路執法官」封IP，聽說有種工具可以把IP不停的換就封不了了！請問哪位大蝦知道是什麼工具

網路執法官是一款網管軟體，可用於管理區域網，能禁止區域網任意機器連接網路。對於網管來說，這個功能自然很不錯，但如果區域網中有別人也使用該功能那就麻煩了。因為這樣輕則會導致別人無法上網，重則會導致整個區域網癱瘓。有什麼解決辦法呢？請您看下面的招數及其原理。

一、網路執法官簡介

我們可以在區域網中任意一台機器上運行網路執法官的主程序NetRobocop.exe。它可以穿透防火牆、實時監控、記錄整個區域網用戶上線情況，可限制各用戶上線時所用的IP、時段，並可將非法用戶踢下區域網。該軟體適用范圍為區域網內部，不能對網關或路由器外的機器進行監視或管理，適合區域網管理員使用。

在網路執法官中，要想限制某台機器上網，只要點擊"網卡"菜單中的"許可權"，選擇指定的網卡號或在用戶列表中點擊該網卡所在行，從右鍵菜單中選擇"許可權"，在彈出的對話框中即可限制該用戶的許可權。對於未登記網卡，可以這樣限定其上線：只要設定好所有已知用戶（登記）後，將網卡的默認許可權改為禁止上線即可阻止所有未知的網卡上線。使用這兩個功能就可限制用戶上網。其原理是通過ARP欺騙發給被攻擊的電腦一個假的網關IP地址對應的MAC，使其找不到網關真正的MAC地址，這樣就可以禁止其上網。

二、ARP欺騙的原理

網路執法官中利用的ARP欺騙使被攻擊的電腦無法上網，其原理就是使該電腦無法找到網關的MAC地址。那麼ARP欺騙到底是怎麼回事呢？知其然，知其所以然是我們的優良傳統，下面我們就談談這個問題。

首先給大家說說什麼是ARP,ARP（Address Resolution Protocol）是地址解析協議，是一種將IP地址轉化成物理地址的協議。從IP地址到物理地址的映射有兩種方式：表格方式和非表格方式。ARP具體說來就是將網路層（IP層，也就是相當於OSI的第三層）地址解析為數據連接層（MAC層，也就是相當於OSI的第二層）的MAC地址。

ARP原理：某機器A要向主機B發送報文，會查詢本地的ARP緩存表，找到B的IP地址對應的MAC地址後，就會進行數據傳輸。如果未找到，則廣播A一個ARP請求報文（攜帶主機A的IP地址Ia——物理地址Pa），請求IP地址為Ib的主機B回答物理地址Pb。網上所有主機包括B都收到ARP請求，但只有主機B識別自己的IP地址，於是向A主機發回一個ARP響應報文。其中就包含有B的MAC地址，A接收到B的應答後，就會更新本地的ARP緩存。接著使用這個MAC地址發送數據（由網卡附加MAC地址）。因此，本地高速緩存的這個ARP表是本地網路流通的基礎，而且這個緩存是動態的。

ARP協議並不只在發送了ARP請求才接收ARP應答。當計算機接收到ARP應答數據包的時候，就會對本地的ARP緩存進行更新，將應答中的IP和MAC地址存儲在ARP緩存中。因此，當區域網中的某台機器B向A發送一個自己偽造的ARP應答，而如果這個應答是B冒充C偽造來的，即IP地址為C的IP，而MAC地址是偽造的，則當A接收到B偽造的ARP應答後，就會更新本地的ARP緩存，這樣在A看來C的IP地址沒有變，而它的MAC地址已經不是原來那個了。由於區域網的網路流通不是根據IP地址進行，而是按照MAC地址進行傳輸。所以，那個偽造出來的MAC地址在A上被改變成一個不存在的MAC地址，這樣就會造成網路不通，導致A不能Ping通C！這就是一個簡單的ARP欺騙。

網路執法官利用的就是這個原理！知道了它的原理，再突破它的防線就容易多了。

三、修改MAC地址突破網路執法官的封鎖

根據上面的分析，我們不難得出結論：只要修改MAC地址，就可以騙過網路執法官的掃描，從而達到突破封鎖的目的。下面是修改網卡MAC地址的方法：
在"開始"菜單的"運行"中輸入regedit，打開注冊表編輯器，展開注冊表到：HKEY_LOCAL_ MACHINE\System\CurrentControlSet\Control\Class\{4D36E972-E325-11CE-BFC1-08002BE103 18}子鍵，在子鍵下的0000，0001，0002等分支中查找DriverDesc（如果你有一塊以上的網卡，就有0001，0002......在這里保存了有關你的網卡的信息，其中的DriverDesc內容就是網卡的信息描述，比如我的網卡是Intel 210 41 based Ethernet Controller），在這里假設你的網卡在0000子鍵。在0000子鍵下添加一個字元串，命名為"NetworkAddress"，鍵值為修改後的MAC地址，要求為連續的12個16進制數。然後在"0000"子鍵下的NDI\params中新建一項名為NetworkAddress的子鍵，在該子鍵下添加名為"default"的字元串，鍵值為修改後的MAC地址。

在NetworkAddress的子鍵下繼續建立名為"ParamDesc"的字元串，其作用為指定Network Address的描述，其值可為"MAC Address"。這樣以後打開網路鄰居的"屬性"，雙擊相應的網卡就會發現有一個"高級"設置，其下存在MAC Address的選項，它就是你在注冊表中加入的新項"NetworkAddress"，以後只要在此修改MAC地址就可以了。

關閉注冊表，重新啟動，你的網卡地址已改。打開網路鄰居的屬性，雙擊相應網卡項會發現有一個MAC Address的高級設置項，用於直接修改MAC地址。

MAC地址也叫物理地址、硬體地址或鏈路地址，由網路設備製造商生產時寫在硬體內部。這個地址與網路無關，即無論將帶有這個地址的硬體（如網卡、集線器、路由器等）接入到網路的何處，它都有相同的MAC地址，MAC地址一般不可改變，不能由用戶自己設定。MAC地址通常表示為12個16進制數，每2個16進制數之間用冒號隔開，如：08:00:20:0A:8C:6D就是一個MAC地址，其中前6位16進制數，08:00:20代表網路硬體製造商的編號，它由IEEE分配，而後3位16進制數0A:8C:6D代表該製造商所製造的某個網路產品（如網卡）的系列號。每個網路製造商必須確保它所製造的每個乙太網設備都具有相同的前三位元組以及不同的後三個位元組。這樣就可保證世界上每個乙太網設備都具有唯一的MAC地址。

另外，網路執法官的原理是通過ARP欺騙發給某台電腦有關假的網關IP地址所對應的MAC地址，使其找不到網關真正的MAC地址。因此，只要我們修改IP到MAC的映射就可使網路執法官的ARP欺騙失效，就隔開突破它的限制。你可以事先Ping一下網關，然後再用ARP -a命令得到網關的MAC地址，最後用ARP -s IP 網卡MAC地址命令把網關的IP地址和它的MAC地址映射起來就可以了。

四、找到使你無法上網的對方

解除了網路執法官的封鎖後，我們可以利用Arpkiller的"Sniffer殺手"掃描整個區域網IP段，然後查找處在"混雜"模式下的計算機，就可以發現對方了。具體方法是：運行Arpkiller，然後點擊"Sniffer監測工具"，在出現的"Sniffer殺手"窗口中輸入檢測的起始和終止IP，單擊"開始檢測"就可以了。

檢測完成後，如果相應的IP是綠帽子圖標，說明這個IP處於正常模式，如果是紅帽子則說明該網卡處於混雜模式。它就是我們的目標，就是這個傢伙在用網路執法官在搗亂。

掃描時自己也處在混雜模式，把自己不能算在其中哦！

找到對方後怎麼對付他就是你的事了。

五、再來兩招輕松防範網路執法官

NO.1 首先呢，最穩妥的一個辦法就是修改機器的MAC地址，只要把MAC地址改為別的，就可以欺騙過網路執法官，從而達到突破封鎖的目的。下面是修改MAC地址的方法：

linux環境下:
需要用
#ifconfig eth0 down
先把網卡禁用
再用ifconfig eth0 hw ether 1234567890ab
這樣就可以改成功了
要想永久改就這樣
在/etc/rc.d/rc.local里加上這三句(也可以在/etc/init.d/network里加下面三行)
ifconfig eth0 down
ifconfig eth0 hw ether 1234567890ab
ifconfig eth0 up

另:
在win2000中改MAC地址的方法：
打開注冊表編輯器，找到HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Class\子鍵，在該子鍵下的0000，0001，0002等分支中查找DriverDesc，在0000子鍵下天一個字元串項，命名為NetworkAddress，鍵值設為修改後的MAC地址，要求為連續的12個16進制數，如1234567890AB(注意位數要對！不能是000000000000，不能與別的機器重復)。然後在0000下的NDI\params中加一項名為NetworkAddress的子鍵，在該子鍵下添加名為default的字元串，鍵值為修改後的MAC地址，與上面的數值相同。在NetworkAddress的主鍵下繼續添加命名為ParamDesc的字元串，其作用是制定NetworkAddress主鍵的描述，其值可為「MAC 地址」，這樣以後打開網路屬性，雙擊相應的網卡會發現有一個高級設置，其下坐在「MAC地址」的選項，在此修改MAC地址就可以了，修改後需重啟。

Windows環境:
用dos，8139的可以改，用realtek的pg8139.exe,比如 是8139c網卡，就改寫8139c.cfg文件，第一行就是網卡mac,想怎麼改就怎麼改

NO.2 另外一種方法，我沒有試，一種設想，有條件的朋友幫忙試一下。

由於網路執法官的原理是通過ARP欺騙發給被攻擊的電腦一個假的網關IP地址對應的MAC，使其找不到網關真正的MAC，那麼我們可以自己修改IP->MAC的映射，使網路執法官ARP欺騙失效。具體做法如下：

在還沒有被封鎖的時候進入CMD執行如下命令
e:\>ping 192.168.9.1 (假設此地址位網關。)

Pinging 192.168.9.1 with 32 bytes of data:

Reply from 192.168.9.1: bytes=32 time<10ms TTL=64
Reply from 192.168.9.1: bytes=32 time<10ms TTL=64
Reply from 192.168.9.1: bytes=32 time<10ms TTL=64
Reply from 192.168.9.1: bytes=32 time<10ms TTL=64

Ping statistics for 192.168.9.1:
Packets: Sent = 4, Received = 4, Lost = 0 (0% loss),
Approximate round trip times in milli-seconds:
Minimum = 0ms, Maximum = 0ms, Average = 0ms

e:\>arp -a

Interface: 192.168.9.1 on Interface 0x5000003
Internet Address Physical Address Type
192.168.9.1 00-0E-70-32-f1-02 dynamic
(上面的就是網關的MAC)
然後作這樣一個批處理文件保存起來。。注意！！！地址要換為你自己的網關的IP和MAC
arp -s 192.168.9.1 00-0E-70-32-f1-02
然後呢，在你被封鎖的時候，就執行這個批處理吧。

NO.3 如果解除了網路執法官的封鎖可不可以查到使用網路執法官的人究竟是誰呢?答案是可以！利用arpkiller的sniffer殺手掃描整個區域網IP段查找處在「混雜」(監聽)模式下的計算機，應該就是他了。
參考資料：http://www.cnhacker.com/bbs/read.php?tid=40753&page=e&fpage=1

⑨ 封堵聊天工具的最佳方案是什麼

在路由器裡面封聊天埠1如果想要簡單一點的話，可以下載個聚生網管，進行限制

⑩ 怎麼在伺服器上封IP或者IP段

封IP是沒用的..第一:就算你封了IP,別人的IP是天天都在變的..除非你把整個IP段都封了..就算你把整個IP段都封了也沒用..這個世界上有一種東西叫做"網路代理"..我想把我的IP變成美國都行..所以封IP解決不了問題..

你還是把網站的漏洞找出來封好漏洞,打好補丁才是正確之路