推荐：企业的网络安全管理从IP地址开

　　某企业所在的办公局域网有100多台计算机，为了区分不同用户分配更详细的访问权限，我们采用的是设置固定IP的方法，而不是自动获取IP地址，由于我们还有一部分电脑要联到Internet上。这样就要设两个子网，如内网我们设为192.168.0.1网段，能联外网的我们设为192.168.1.1网段。在实际使用中遇到了经常有用户为了上网私改IP地址，从而造成网络冲突的问题。

　　因为我们的计算机都是使用WindowsXP操作系统的，用户可以私自设两个IP网段的地址这样即可联入单位的局域网也可以联到因特网，但这是公司不允许的。下面是我解决的过程和自己的一些，希望能给要解决这样问题的一些提示(我用的是TP-LINK由器)。

　　方法一：IP地址与MAC地址的绑定加上由器的MAC过滤功能

　　可是提到的方法虽然可以在一定程度上解决非法用户网络接入的问题和网络冲突的问题，但用户还是可以通过修改注册表，下载专用修改MAC小工具等方法，轻松更改本机MAC地址，甚至将本机的MAC地址和IP地址改得和能上网的机器一模一样。非法用户又可以非法使用网络。并且我用的由器的MAC过滤功能只能填入16个MAC。

　　方法二：交换机的MAC地址与端口绑定

　　将交换机的MAC地址与端口绑定后，非法用户擅自改动本机网卡的MAC地址，该机器的网络访问将因其MAC地址被交换机认定为非法而无法实现。

　　登录进入交换机(我单位用的是Cisco交换机，我想别的品牌的交换机也差不多)，输入管理口令进入配置模式：

　　192.168.0.1是什么这样逐一的将每个端口与相应的计算机MAC地址进行绑定，保存退出后就彻底了用户的非法修改。

　　方法三：防火墙与代理服务器

　　我个人感觉使用防火墙与代理服务器相结合，更能较好地解决IP地址问题：防火墙用来隔离内部网络和外部网络，用户访问外部网络通过代理服务器进行。使用这样的办法是将IP防盗放到应用层来解决，变IP管理为用户身份和口令的管理，因为用户对于网络的使用归根结底是要使用网络进入因特网。这样实现的好处是，IP地址只能在子网内使用，失去的意义；用户可以选择任意一台IP主机使用，通过代理服务器访问外部网络资源，而用户即使IP，也没有身份和密码，不能使用外部网络。