局域网内如何保护自己网络

① 作为一个网络管理者,如何解决局域网安全问题

看了你提问，下面我就用比较通俗的方式进行解答，我的解答主要是为了提高你的网络安全的基础认识，而不是应答这个题目

首先局域网是什么？局域网是由服务器或者多台计算机组成的小范围内的互联网络，它的最大好处是：1可以实现局域网内共享 2局域网内各台计算机的传输速度快，所以是现代最为流行的组网方式

局域网的安全威胁个人认为分为两大类：来自internet（外网）的威胁和来自内部的威胁，但是内外的攻击方式可能一样，譬如外部的人可以发一封携带病毒的邮件到内网的邮箱，内部那个人点击了邮件，同样，内网某个用户也可以发一封邮件到另外一个内网人的电子邮箱，而且来自内部的攻击往往难以防范。

下面列举一个攻击的例子让你有个大概的网络攻击的认识：

（1）ICMP协议（icmp协议主要用来主机之间，主机与路由器之间实现信息查询和错误通告的），攻击者可以利用echo reply原理进行ICMP泛洪攻击，他只要想目标一个广播网络发送echo请求，讲源地址伪装成受害者的ip地址，广播网络就会不停的对受害者发送echo应答，导致带宽耗尽，形成Dos（拒绝服务）攻击

这种攻击利用 客户端一服务器的模式工作，服务器驻留在防火墙内部被安装了木马程序

(一般通过电子邮件传送的主机上)一旦运行,就可以接收来自驻留在攻击者机器上的客户端的echo请求包，客户端把要执行的命令包裹在echo数据包中,服务器(受害者主机)接收到该数据包,

解出其中包裹的命令,并在受害者的机器上执行它,然后,将结果放人 echo rely数据包中回送给攻击者,一般来说防火墙的具备的功能如下：

a内外网数据必须通过防火墙

b只有被防火墙认可的数据才能通过

c防火墙本身具备抵抗攻击的能力

但是一般防火墙对echo报数据都是“宽大处理”，攻击者通过这种模式可以完全越过没有禁止echo requset 和echo reply数据包的防火墙!!!

（2）TCP/IP规范要求IP报文的长度在一定范围内（比如，0－64K），但有的攻击计算机可能向目标计算机发出大于64K长度的PING报文，导致目标计算机IP协议栈崩溃，不过现在这个bug已经修改了（所以更新操作系统很重要~）

(3)SMTP是目前最常用的邮件协议，也是隐患最大的协议之一。在SMTP中，发件人的地址是通过一个应用层的命令"MAIL FROM”来传送的，协议本身没有对其作任何验证，这导致了垃圾邮件的发送者可以隐藏他们的真实地址，同时发送的电子邮件可以携带各种病毒文件

（4）ARP（地址解析）协议漏洞，ARP用来将IP地址映射成MAC地址的（以太网中传送数据需要用MAC地址进行寻址），在TCP/IP协议中，A给B发送IP包，在报头中需要填写B的IP为目标地址，但这个IP包在以太网上传输的时候，还需要进行一次以太包的封装，在这个以太包中，目标地址就是B的MAC地址.

计算机A是如何得知B的MAC地址的呢？解决问题的关键就在于ARP协议。

在A不知道B的MAC地址的情况下，A就广播一个ARP请求包，请求包中填有B的IP(192.168.1.2)，以太网中的所有计算机都会接收这个请求(因为是一个广播域，所有主机都可以收到)，而正常的情况下只有B会给出ARP应答包，包中就填充上了B的MAC地址，并回复给A。

A得到ARP应答后，将B的MAC地址放入本机缓存，便于下次使用。

本机MAC缓存是有生存期的，生存期结束后，将再次重复上面的过程。

ARP协议并不只在发送了ARP请求才接收ARP应答。当计算机接收到ARP应答数据包的时候，就会对本地的ARP缓存进行更新，将应答中的IP和MAC地址存储在ARP缓存中。因此，当局域网中的某台机器A向B发送一个自己伪造的ARP应答，而如果这个应答是A冒充C的，即IP地址为C的IP，而MAC地址是伪造无效的，则当A接收到B伪造的ARP应答后，就会更新本地的ARP缓存，这样在A看来C的IP地址没有变，而它的MAC地址已经不是原来那个了。由于局域网的网络流通不是根据IP地址进行，而是按照MAC地址进行传输。所以，那个伪造出来的MAC地址在A上被改变成一个不存在的MAC地址，这样就会造成网络不通，导致A不能Ping通C！这就是一个简单的ARP欺骗。通理，如果攻击者A将MAC地址设为自己的MAC，那么每次B跟C通信的时候，其实都是在跟A通信，那么A就达到了获取B的消息的目的，而B全然不觉- -！！

以上只是从底层原理让你大概了解攻击者到底是如何进行攻击的，不是什么神秘的事情，其实攻击很简单，无非就是利用系统漏洞或者说钻空子来达到获取信息，破坏的目的，为什么经常要进行系统升级？

举个例子，有人钻法律的空子做一些事，有了这个先例，然后司法机构才补充一条新的法律条文，而并不是说原来的法律就是错误的，而是没有注意到那一点，系统升级也一样，就是根据最新发现的攻击进行一些规则的补充，让攻击者不能再钻这个空子，但是攻击者会去发现新的空子，其实攻击者对我们的网络发展贡献了很大的力量，为我们提供了许多思路，如果没有那些病毒或者攻击，网络安全的发展也停滞不前了。所以作为一个网络管理员，要解决局域网安全问题要注意一下几点：

（1）内外网根据局域网内部的安全等级需要选择适当的防火墙

（2）处于局域网的服务器要进行隔离，局域网内计算机的数据快速、便捷的传递，造就了病毒感染的直接性和快速性，如果局域网中服务器区域不进行独立保护，其中一台电脑感染病毒，并且通过服务器进行信息传递，就会感染服务器，这样局域网中任何一台通过服务器信息传递的电脑，就有可能会感染病毒。虽然在网络出口有防火墙阻断对外来攻击，但无法抵挡来自局域网内部的攻击。

（3）及时安装杀毒软件，更新操作系统，由于网络用户不及时安装防病毒软件和操作系统补丁，或未及时更新防病毒软件的病毒库而造成计算机病毒的入侵。许多网络寄生犯罪软件的攻击，正是利用了用户的这个弱点。

（4）对一个局域网的机器进行vlan分割，实现广播域的隔离

（5）封存所有空闲的IP地址。启动IP地址绑定采用上网计算机IP地址与MCA地址一一对应，网络没有空闲IP地址的策略。由于采用了无空闲IP地址策略，可以有效防止IP地址引起的网络中断和移动计算机随意上内部局域网络造成病毒传播和数据泄密

（6）数据库的备份与恢复。数据库的备份与恢复是数据库管理员维护数据安全性和完整性的重要操作。备份是恢复数据库最容易和最能防止意外的保证方法。恢复是在意外发生后利用备份来恢复数据的操作。譬如一个网吧内，必须安装一个还原系统，机器重启就还原

（7）加强安全意识，往往引起的攻击不是外部网络攻击，而是来自内部一些别有用心的人破坏

平时要多学习网络的一些基础知识和网络的一些常见攻击手段以达到反侦察的目的，纯手打，希望对你有用，QQ137894617

② 局域网中如何防御别人限制我的网络

一、单纯的限制某些网站，不能访问，网络游戏（比如联众）不能玩，这类限制一般是限制了欲访问的IP地址。 对于这类限制很容易突破，用普通的HTTP代理就可以了，或者SOCKS代理也是可以的。现在网上找HTTP代理还是很容易的，一抓一大把。在IE里加了HTTP代理就可以轻松访问目的网站了。 二、限制了某些协议，如不能FTP了等情况，还有就是限制了一些网络游戏的服务器端IP地址，而这些游戏又不支持普通HTTP代理。 这种情况可以用SOCKS代理，配合Sockscap32软件，把软件加到SOCKSCAP32里，通过SOCKS代理访问。一般的程序都可以突破限制。对于有些游戏，可以考虑Permeo Security Driver 这个软件。如果连SOCKS也限制了，那可以用socks2http了，不会连HTTP也限制了吧。 三、基于包过滤的限制，或者禁止了一些关键字。这类限制就比较强了，一般是通过代理服务器或者硬件防火墙做的过滤。比如：通过ISA Server 2004禁止MSN ，做了包过滤。这类限制比较难突破，普通的代理是无法突破限制的。 这类限制因为做了包过滤，能过滤出关键字来，所以要使用加密代理，也就是说中间走的HTTP或者SOCKS代理的数据流经过加密，比如跳板，SSSO， FLAT等，只要代理加密了就可以突破了， 用这些软件再配合Sockscap32，MSN就可以上了。 这类限制就不起作用了。 四、基于端口的限制，限制了某些端口，最极端的情况是限制的只有80端口可以访问，也就只能看看网页，连OUTLOOK收信，FTP都限制了。当然对于限制几个特殊端口，突破原理一样。 这种限制可以通过以下办法突破：
1、找普通HTTP80端口的代理，12.34.56.78:80，象这样的，配合socks2http，把HTTP代理装换成SOCKS代理，然后再配合SocksCap32，就很容易突破了。这类突破办法中间走的代理未 加密。通通通软件也有这个功能。
2、用类似FLAT软件，配合SocksCap32，不过所做的FLAT代理最好也是80端口，当然不是80端口也没关系，因为FLAT还支持再通过普通的HTTP代理访问，不是80端口，就需要再加一个80端口的HTTP 代理。这类突破办法中间走的代理加密，网管不知道中间所走的数据是什么。代理跳板也可以做到，不过代理仍然要80端口的。对于单纯是80端口限制，还可以用一些端口转换的技术突破限制。 五、以上一些限制综合的，比如有限制IP的，也有限制关键字，比如封MSN，还有限制端口的情况。 一般用第四种情况的第二个办法就可以完全突破限制。只要还允许上网，呵呵，所有的限制都可以突破。 六、还有一种情况就是你根本就不能上网，没给你上网的权限或者IP，或者做IP与MAC地址绑定了。 两个办法： 1、你在公司应该有好朋友吧，铁哥们，铁姐们都行，找一个能上网的机器，借一条通道，装一个小软件就可以解决问题了，FLAT应该可以，有密钥，别人也上不了，而且可以自己定义端口。。其他能够支持这种方式代 理的软件也可以。我进行了一下测试，情况如下：局域网环境，有一台代理上网的服务器，限定了一部分IP， 给予上网权限，而另一部分IP不能上网，在硬件防火墙或者是代理服务器上做的限制。我想即使做MAC地址与IP绑定也没有用了，照样可以突破这个限制。 在局域网内设置一台能上网的机器，然后把我机器的IP设置为不能上网的，然后给那台能上网的机器装FLAT服务器端程序，只有500多K， 本机通过FLAT客户端，用SOCKSCAP32加一些软件，如IE，测试上网通过，速度很快，而且传输数据还是加密的，非常棒。 2、和网络管理员搞好关系，一切都能搞定，网络管理员什么权限都有，可以单独给你的IP开无任何限制的，前提是你不要给网络管理员带来麻烦，不要影响局域网的正常运转。这可是最好的办法了。 另外，在局域网穿透防火墙，还有一个办法，就是用HTTPTUNNEL，用这个软件需要服务端做配合，要运行httptunnel的服务端，这种方法对局域网端口限制很有效。 隐通道技术就是借助一些软件，可以把防火墙不允许的协议封装在已被授权的可行协议内，从而通过防火墙，端口转换技术也是把不允许的端口转换成允许通过的端口，从而突破防火墙的限制。这类技术现在有些软件可以做到，HACKER经常用到这类技术。 HTTPTunnel，Tunnel这个英文单词的意思是隧道，通常HTTPTunnel被称之为HTTP暗道，它的原理就是将数据伪装成HTTP的数据形式来穿过防火墙，实际上是在HTTP请求中创建了一个双向的虚拟数据连接来穿透防火墙。说得简单点， 就是说在防火墙两边都设立一个转换程序，将原来需要发送或接受的数据包封装成HTTP请求的格式骗过防火墙，所以它不需要别的代理服务器而直接穿透防火墙。HTTPTunnel刚开始时只有Unix版本，现在已经有人把它移植到Window平台上了，它包 括两个程序，htc和hts，其中htc是客户端，而hts是服务器端，我们现在来看看我是如何用它们的。比如开了FTP的机器的IP是192.168.1.231，我本地的机器的IP是192.168.1.226，现在我本地因为防火墙的原因无法连接到 FTP上，现在用HTTPTunnel的过程如下： 第一步：在我的机器上（192.168.1.226）启动HTTPTunnel客户端。启动MS-DOS的命令行方式，然后执行htc -F 8888 192.168.1.231:80命令，其中htc是客户端程序，-f参数表示将来自192.168.1.231:80的数据全部转发到本机的8888端口，这个端口可以随便选，只要本机没有占用就可以。 然后我们用Netstat看一下本机现在开放的端口，发现8888端口已在侦听。 第二步：在对方机器上启动HTTPTunnel的服务器端，并执行命令 “hts -f localhost:21 80”，这个命令的意思是说把本机21端口发出去的数据全部通过80端口中转一下，并且开放80端口作为侦听端口，再用Neststat看一下他的机器，就会发现80端口现在也在侦听状态。 第三步：在我的机器上用FTP连接本机的8888端口，现在已经连上对方的机器了。 可是，人家看到的怎么是127.0.0.1而不是192.168.1.231的地址？因为我现在是连接本机的8888端口，防火墙肯定不会有反应，因为我没往外发包，当然局域网的防火墙不知道了。现在连接上本机的8888端口以后，FTP的数据包不管是控 制信息还是数据信息，都被htc伪装成HTTP数据包然后发过去，在防火墙看来，这都是正常数据，相当于欺骗了防火墙。 需要说明的是，这一招的使用需要其他机器的配合，就是说要在他的机器上启动一个hts，把他所提供的服务，如FTP等重定向到防火墙所允许的80端口上，这样才可以成功绕过防火墙！肯定有人会问，如果对方的机器上本身就有WWW服务，也就是说他的80端口 在侦听，这么做会不会冲突？HTTPTunnel的优点就在于，即使他的机器以前80端口开着，现在这么用也不会出现什么问题，正常的Web访问仍然走老路子，重定向的隧道服务也畅通无阻

③ 如何让局域网更安全

局域网安全的解决办法有以下几种：

1.以交换式集线器代替共享式集线器

对局域网的中心交换机进行网络分段后，以太网侦听的危险仍然存在。这是因为网络最终用户的接入往往是通过分支集线器而不是中心交换机，而使用最广泛的分支集线器通常是共享式集线器。这样，当用户与主机进行数据通信时，两台机器之间的数据包(称为单播包Unicast

Packet)还是会被同一台集线器上的其他用户所侦听。一种很危险的情况是：用户TELNET到一台主机上，由于TELNET程序本身缺乏加密功能，用户所键入的每一个字符(包括用户名、密码等重要信息)，都将被明文发送，这就给黑客提供了机会。

因此，应该以交换式集线器代替共享式集线器，使单播包仅在两个节点之间传送，从而防止非法侦听。当然，交换式集线器只能控制单播包而无法控制广播包(Broadcast

Packet)和多播包(Multicast Packet)。所幸的是，广播包和多播包内的关键信息，要远远少于单播包。

2.网络分段

网络分段通常被认为是控制网络广播风暴的一种基本手段，但其实也是保证网络安全的一项重要措施。其目的就是将非法用户与敏感的网络资源相互隔离，从而防止可能的非法侦听，网络分段可分为物理分段和逻辑分段两种方式。

目前，海关的局域网大多采用以交换机为中心、路由器为边界的网络格局，应重点挖掘中心交换机的访问控制功能和三层交换功能，综合应用物理分段与逻辑分段两种方法，来实现对局域网的安全控制。例如：在海关系统中普遍使用的DEC

MultiSwitch 900的入侵检测功能，其实就是一种基于MAC地址的访问控制，也就是上述的基于数据链路层的物理分段。

3.VLAN的划分

为了克服以太网的广播问题，除了上述方法外，还可以运用VLAN(虚拟局域网)技术，将以太网通信变为点到点通信，防止大部分基于网络侦听的入侵。

目前的VLAN技术主要有三种：基于交换机端口的VLAN、基于节点MAC地址的VLAN和基于应用协议的VLAN。基于端口的VLAN虽然稍欠灵活，但却比较成熟，在实际应用中效果显着，广受欢迎。基于MAC地址的VLAN为移动计算提供了可能性，但同时也潜藏着遭受MAC欺诈攻击的隐患。而基于协议的VLAN，理论上非常理想，但实际应用却尚不成熟。

在集中式网络环境下，我们通常将中心的所有主机系统集中到一个VLAN里，在这个VLAN里不允许有任何用户节点，从而较好地保护敏感的主机资源。在分布式网络环境下，我们可以按机构或部门的设置来划分VLAN。各部门内部的所有服务器和用户节点都在各自的VLAN内，互不侵扰。

VLAN内部的连接采用交换实现，而VLAN与VLAN之间的连接则采用路由实现。目前，大多数的交换机(包括海关内部普遍采用的DEC

MultiSwitch

900)都支持RIP和OSPF这两种国际标准的路由协议。如果有特殊需要，必须使用其他路由协议(如CISCO公司的EIGRP或支持DECnet的IS-IS)，也可以用外接的多以太网口路由器来代替交换机，实现VLAN之间的路由功能。当然，这种情况下，路由转发的效率会有所下降。

无论是交换式集线器还是VLAN交换机，都是以交换技术为核心，它们在控制广播、防止黑客上相当有效，但同时也给一些基于广播原理的入侵监控技术和协议分析技术带来了麻烦。因此，如果局域网内存在这样的入侵监控设备或协议分析设备，就必须选用特殊的带有SPAN(Switch

Port

Analyzer)功能的交换机。这种交换机允许系统管理员将全部或某些交换端口的数据包映射到指定的端口上，提供给接在这一端口上的入侵监控设备或协议分析设备。笔者在厦门海关外部网设计中，就选用了Cisco公司的具备SPAN功能的Catalyst系列交换机，既得到了交换技术的好处，又使原有的Sniffer协议分析仪“英雄有用武之地”。

其它一些公司或企业在注重局域网监控管理软件的同时也要注意工司内部的网络问题，利用一些网络管理软件，网管工具软件让自己的员工为自己的公司利益最大化，当然我们讲的是人道，所以只要充分利用好电脑网络就行了，让我们一起维护一个绿色的网络共享家园。

④ 如何保障无线局域网安全

1、通过查看WiFi 网络设置来了解已有哪些保护措施。看晃否用有线等效加密(WEP)，无线网络安全接入(WPA)或二代无线网络安全接入(WPA2)等保护措施。其中WEP是最早的无线安全协议，效果不佳。WPA优于WEP，不过WPA2才是最佳选择。
2、将网络安全设置改为WPA2模式。如果购买的是早期型号，建议更换支持WPA2的新型路由器。因为它更安全，速度也更快。
3、为WiFi 网络设置高强度密码。选择独特的密码十分重要，最好使用由数字，字母和符号组成的长密码，这样不易被别人猜出。
4、保护路由器，以免他人更改设置。路由器需要设置单独的密码，要与保护WiFi 网络的密码有所区别。不要用出厂给的简单用户名及密码（如Admin之类的）。

⑤ 局域网的网络安全

局域网的安全：1、物理安全：是指机房的网络环境安全，机房规范化部署，保持温度和湿度，防止灰尘，抗电磁干扰等，可预防火灾等情况发生。
2、网络结构/系统安全：网络拓扑上考虑冗余链路，设置防火墙，设置入侵检测，设置实时监控系统。①设置严格内外网隔离 ②内网不同区域物理隔离，划分多个不同广播域。③网络安全检测 ④网络监控和管控（上网行为管理软件）
以上简单列了一些局域网安全的注意事项，还有需要注意的非常多，题主可以多搜搜。我个人感觉这块比较简单一点，防火墙装一个，上网行为管理软件装一个 就差不多了。
防火墙 推荐华为或者思科的防火墙，上网行为管理软件 推荐Lanecat网猫

⑥ 在单位上局域网，怎么样保护好自己的隐私呢

要看你们单位做了网络监控没有，如果有，那么你浏览了什么网站基本上都会被记录下来的；如果没有安装，可以放心用。
1、关于聊天记录，这个东西是保存在你本机上的，只要你及时删除了，别人都看不见的；

2、是否有监控软件，那就要看你的水平了，因为那电脑也没放在我面前，你先看看都安装了什么软件，或者找一些反木马的软件，或者是扫描系统进程、线程的软件，扫描一下系统，看看是否有隐藏的东西在运行，

3、隐私，树立安全意识，没别的办法，如果你对计算机不是很熟悉，那么最好学习一下，否则对一个你不明白的东西你又怎能保护隐私呢？

4、关于IP，除非管理员是个BT，去扫描所有的数据，并且管理员的专业很厉害，可以破解加密的传输，这种人寥寥无几，放心吧，他能扫描出你用的设么软件在上网，但是想通过截获数据的方式来看见你的聊天内容，几乎是不可能的，前提是你的机器没有中招哈

防范qq第六感网吧有时掉线，基本可以确认为有人使用了qq第六感2.0对内网扫描

掉线状态参见：
[url]http://bbs.51758.com/viewthread.php?tid=4040&highlight=[/url]

试过以前的补丁：packet.dll只读目录，加3个只读的dll文件，
经过试验，那几个文件能中止网络执法官的安装，对qq第六感 2.0版无效，qq第六感安装完成后，packet.dll文件安装在软件的安装目录，安装到windows目录的3个只读的dll属性都变成不是只读，估计文件只读属性只对dos下文件操作有效，寻找防止qq第六感2.0的安装的方法，除了修改策略！！

⑦ 怎么在局域网中保护自己的网速

随便用一个p2pkill,自己去下载一个软件，另外再下载教程，如果你是学工科的话很容易懂的，如果你是学文科的话，只要不笨，还是很容易看懂的。限速不要限的太死，很容易发现。
另外，路由器里面就可以限速，如果你有管理权限的话。

⑧ 怎样确保局域网安全

1.右键我的电脑。管理。组策略，禁止从网络访问我的计算机里添加USER用户。从网络访问我的计算机里删除USER用户。右键我的电脑。管理。用户帐户。禁用guest用户。并且给administrator加上密码。
2.打开IE。点工具。INTERNET选项。清除历史记录。删除临时文件。COOKIES文件。
3.登录QQ的时候选择网吧模式。
4.将信箱的密码设置为大写+小写+符号。

1，安装防火墙屏蔽共享
2，使用上网助手之类的ie插件或超级兔子，会自带痕迹清理功能。
3，qq第一次登陆时会出现模式选择，选择网吧模式，等你退出的时候会提示你是否删除。原来已有的记录可在登陆界面点高级设置，下面会出现清除记录。（最好使用新版的QQ2006）
4，一般网管不会，除非他变态。你可以使用邮箱客户端+代理的方式，这样很难截获你得资料。

如何设置才能确保内网安全呢，通常可以从一下四个方面进行设置：

划分VLAN防止网络侦听

运用VLAN（虚拟局域网）技术，将以太网通信变为点到点通信，防止大部分基于网络侦听的入侵。 目前的VLAN技术主要有三种：基于交换机端口的VLAN、基于节点MAC地址的VLAN和基于应用协议的VLAN。基于端口的VLAN虽然稍欠灵活，但却比较成熟，在实际应用中效果显着，广受欢迎。基于MAC地址的VLAN为移动计算提供了可能性，但同时也潜藏着遭受MAC欺诈攻击的隐患。

在集中式网络环境下，我们通常将中心的所有主机系统集中到一个VLAN里，在这个VLAN里不允许有任何用户节点，从而较好地保护敏感的主机资源。在分布式网络环境下，我们可以按机构或部门的设置来划分VLAN。各部门内部的所有服务器和用户节点都在各自的VLAN内。VLAN内部的连接采用交换实现，而VLAN与VLAN之间的连接则采用路由实现。目前，大多数的交换机（包括海关内部普遍采用的DEC MultiSwitch 900）都支持RIP和OSPF这两种国际标准的路由协议。如果有特殊需要，必须使用其他路由协议（如CISCO公司的EIGRP或支持DECnet的IS－IS），也可以用外接的多以太网口路由器来代替交换机，实现VLAN之间的路由功能。当然，这种情况下，路由转发的效率会有所下降。

安全设置局域网文件夹

如今我们所使用的操作系统大多都为Windows XP，可是在安装Windows XP时缺省项的共享都是“简单共享”，从而导致“开放”的、不安全的文件共享，我们需要进行如下操作来解除这种不安全的隐患：

首先我们要取消默认的“简单共享”。打开“我的电脑”依次单击“工具→文件夹选项”，在打开的对话框中选择“查看”选项卡，取消“使用简单共享（推荐）”的选中状态。

然后创建共享用户。单击“开始→设置→控制面板”，打开“用户账户”，创建一个又密码的用户，假设用户名为oldforman，需要共享资源的机器必须以该用户共享资源。

接下来设置要共享的目录。假设共享目录为NTFS分区上的目录OLDFORMAN,并设置只有用户oldforman可以共享该目录下的资源。用鼠标右键单击要共享的目录OLDFORMAN，单击“共享和安全”，点击“权限”，单击删除按钮将原来该目录任何用户（everyone）都可以共享的权限删除。再单击“添加”按钮，依次单击“高级→立即查找”，选择用户oldforman，单击确定添加用户oldforman，并选择用户oldforman的共享权限。

以后局域网中的计算机要想查看该共享文件夹中的内容，只有输入正确的用户名和密码才能查看或修改共享文件夹中的内容了，如图2。

以交换式集线器代替共享式集线器

对局域网的中心交换机进行网络分段后，以太网侦听的危险仍然存在。这是因为网络最终用户的接入往往是通过分支集线器而不是中心交换机，而使用最广泛的分支集线器通常是共享式集线器。这样，当用户与主机进行数据通信时，两台机器之间的数据包（称为单播包Unicast Packet）还是会被同一台集线器上的其他用户所侦听。一种很危险的情况是：用户TELNET到一台主机上，由于TELNET程序本身缺乏加密功能，用户所键入的每一个字符（包括用户名、密码等重要信息），都将被明文发送，这就给黑客提供了机会。

因此，应该以交换式集线器代替共享式集线器，使单播包仅在两个节点之间传送，从而防止非法侦听。当然，交换式集线器只能控制单播包而无法控制广播包（Broadcast Packet）和多播包（Multicast Packet）。所幸的是，广播包和多播包内的关键信息，要远远少于单播包。

不管是交换式集线器还是VLAN交换机，都是以交换技术为核心，它们在控制广播、防止黑客上相当有效，但同时也给一些基于广播原理的入侵监控技术和协议分析技术带来了麻烦。因此，如果局域网内存在这样的入侵监控设备或协议分析设备，就必须选用特殊的带有SPAN（Switch Port Analyzer）功能的交换机。这种交换机允许系统管理员将全部或某些交换端口的数据包映射到指定的端口上，提供给接在这一端口上的入侵监控设备或协议分析设备。加强防范观念 安全预防局域网病毒

选择一个功力高深的网络版病毒"杀手"就至关重要了。一般而言，查杀是否彻底，界面是否友好、方便，能否实现远程控制、集中管理是决定一个网络杀毒软件的三大要素。杜绝病毒，主观能动性起到很重要的作用。

病毒的蔓延，经常是由于企业内部员工对病毒的传播方式不够了解，病毒传播的渠道有很多种，可通过网络、物理介质等。查杀病毒，首先要知道病毒到底是什么，它的危害是怎么样的，知道了病毒危害性，提高了安全意识，杜绝毒瘤的战役就已经成功了一半。平时，企业要从加强安全意识着手，对日常工作中隐藏的病毒危害增加警觉性，如安装一种大众认可的网络版杀毒软件，定时更新病毒定义，对来历不明的文件运行前进行查杀，每周查杀一次病毒，减少共享文件夹的数量，文件共享的时候尽量控制权限和增加密码等，都可以很好地防止病毒在网络中的传播。

后记

尽管这些病毒的传播原理很简单，但这块决非仅仅是技术问题，还应该教育用户和企业，让它们采取适当的措施。例如，如果所有的Windows用户都关闭了VB脚本功能，像库尔尼科娃这样的病毒就不可能传播。只要用户随时小心警惕，不要打开值得怀疑的邮件，就可把病毒拒绝在外。

⑨ 在局域网内,如何保护让自己的电脑稳定地上网呢

1、局域网内建议安装网络版杀毒软件，如果没有，可以安装金山毒霸或卡巴斯基网络安装套装+360安全卫士
2、你可以新建一个帐户，将权限进行限制，将本机的远程连接关闭，具体设置网上很多，一查就知道了。
3、IP地址绑定指的是你本机的IP地址与本机的网卡mac地址进行绑定，当修改IP地址后，此机会收到限制。
4、局域网内想稳定上网，只有你电脑没问题是不行的，如果其他电脑中毒也会引起网络交换机中都而造成不能上网或上网不正常。

⑩ 如何在局域网中做好自我保护

我认为做好两点就可以了。1、轻易不要访问网上邻居的共享文件夹，要访问，必须正确访问（不访问不知道的文件夹）。2、保护好自己的计算机，升级系统，解决系统的漏洞，可以防止一些病毒，再者可以安装最新的正版杀毒软件，进行监控，遇到病毒问题及时的处理掉。
我想就OK了！