Board logo

主題: [求助] [求助]如何在保持網路暢通下不讓人上網? [打印本頁]
發表人: ken91    時間: 2010-8-26 03:38 PM     主題: [求助]如何在保持網路暢通下不讓人上網?

我目前有台營業用電腦,必須有網路,卻不希望讓人拿來上網.系統是XP.
請問有何好方法?
可以把IE解除安裝嗎?
發表人: cys070    時間: 2010-8-26 03:52 PM

封 80 port

方法:
有分享器到設定頁面設定
沒用分享器,用軟體防火牆設定規則

[cys070 在  2010-8-26 03:58 PM 作了最後編輯]
發表人: ken91    時間: 2010-8-26 04:13 PM


引用:
cys070寫到:
封 80 port

方法:
有分享器到設定頁面設定
沒用分享器,用軟體防火牆設定規則

[cys070 在  2010-8-26 03:58 PM 作了最後編輯]

請問這會鎖到防毒軟體更新病毒碼嗎?
還有就是是否會影響VPN的通暢?

其實我有在考慮一套軟體:OSMONITOR,可是好貴!
發表人: Ailio    時間: 2010-8-26 04:17 PM

電腦是連到特定的地方嗎?

是的話嘗試幾種方式

1. 用軟體防火牆 把網路封死 只開放要連線的IP or Port
(防火牆本身記得設定密碼 以免被人進去改)
推薦軟體Comodo , 費爾 都是免費軟體

2. 用硬體防火牆鎖 (須購置硬體或是用舊電腦搭配兩張網卡 用ipcop等控管)

3. XP本身的Route Table 下指令去改

只有正確的那組IP導到Gateway 其餘都導自己(127.0.0.1)
發表人: cys070    時間: 2010-8-26 04:20 PM

防毒更新和VPN 應該不是走 80 port

這個port是上網 HTTP用的
發表人: ken91    時間: 2010-8-26 04:29 PM

店面是兩台電腦,有營業程式互連,還有印表機.
我自己的電腦可以上ADSL,VPN.

店員的電腦只希望讓他們用VPN,可是因為有裝防毒程式(NORTON 360)只好讓ADSL連接.雖經勸導,後來還是發現員工偷上網瀏覽私用...用勸導是很難有效的.

以前是沒有裝防毒,乾脆鎖ADSL只留VPN給店員用電腦,後來發現沒防毒還是不行.
發表人: ken91    時間: 2010-8-26 04:35 PM

http://briian.com/?p=2446

請問這招可行嗎?
發表人: cys070    時間: 2010-8-26 04:39 PM

你可以試看看

要讓人不能上網和用msn這些方法是滿多的~
不用特地花大錢買軟體或硬體設備

不過你先了解常用的port是哪些
封 ip封port都是滿有效
你若不清楚就不好設定


但我還是建議你先跟員工溝通一下
若不影響工作~上個網應該是ok

[cys070 在  2010-8-26 04:44 PM 作了最後編輯]
發表人: XDR    時間: 2010-8-26 05:46 PM

裝台HUB設白名單是最容易的吧,沒三兩三不建議從軟體下手
看一下NORTON是用哪個PORT更新的,就只開放那個其他全鎖
至於你自己用的電腦直接接到數據機上就好
購置成本1000有找

當然還要把數據機藏好就是,免得員工直接拔網路限換頭插
發表人: kyochan03    時間: 2010-8-26 09:19 PM


剛好我現在被鎖,我想請問,
例:我這台拿到的IP是192.168.3.200
我知道192.168.3.198沒鎖,那是別台主機佔的,
但是別台主機並非一直連線,我想先借用,所以我想去用192.168.3.198
這樣要如何讓我這台取得那個IP位址呢?
發表人: XDR    時間: 2010-8-26 10:58 PM

回樓上
1.
如果你在的網域IP是用自動分配方式
你重開機一萬次看看會不會瞎貓碰上死耗子 剛好配給你198那組

2.
如果你有網管人員密碼可以登入路由器或其他設備
在DHCP設定頁面填上你電腦網卡的MAC,再固定到198那組IP即可

3.
問耶穌或阿拉或釋迦摩尼或外星人
發表人: Ailio    時間: 2010-8-27 12:12 AM


引用:
ken91寫到:
店面是兩台電腦,有營業程式互連,還有印表機.
我自己的電腦可以上ADSL,VPN.

店員的電腦只希望讓他們用VPN,可是因為有裝防毒程式(NORTON 360)只好讓ADSL連接.雖經勸導,後來還是發現員工偷上網瀏覽私用...用勸導是很難有效的.

以前是沒有裝防毒,乾脆鎖ADSL只留VPN給店員用電腦,後來發現沒防毒還是不行.


ADSL  封掉就好囉 防毒也不用天天更新

個人經驗 會中天天更新還是中 不會中 偶爾更新 就很夠用

或是考慮買個有PPPOE Server功能的Router 那要上網就要走PPPOE (像ADSL撥接那樣 但是帳號密碼 可以自己設定)

便宜版的 Hiper 510 還不錯用 兩千多
發表人: aeolus0829    時間: 2010-8-27 08:28 AM

最簡單的方法,設螢幕保護程式鎖密碼,時間:1分鐘~3分鐘
發表人: shiuh    時間: 2010-8-27 10:17 AM

資安軟體可以幫你辦到
不過資安軟體是要花錢買到是了.........
好像不能單買一套
最少是五套起跳...
發表人: Adsmt    時間: 2010-8-27 10:26 AM


引用:
kyochan03寫到:

剛好我現在被鎖,我想請問,
例:我這台拿到的IP是192.168.3.200
我知道192.168.3.198沒鎖,那是別台主機佔的,
但是別台主機並非一直連線,我想先借用,所以我想去用192.168.3.198
這樣要如何讓我這台取得那個IP位址呢?

直接把 ip 設成 192.168.3.198 就好了
發表人: ags    時間: 2010-8-27 01:11 PM

把裡面能上網的全移掉,再做個假ie執行檔取代原本的ie執行檔就好了
發表人: FANTASY    時間: 2010-8-27 07:35 PM

簡單,
把dns拿掉或是亂填就好了
發表人: kyochan03    時間: 2010-8-27 11:52 PM

找到這個,希望有用
有關MAC的內容(如何修改MAC、綁定MAC及安全)

有關MAC的內容(如何修改MAC、綁定MAC及安全)
如果你是通過校園網或小區接入Internet,那麼一定聽說過MAC卡位址。什麼是MAC卡位址,MAC卡位址在這種局域網環境中究竟起到什麼作用?下面就來介紹一下MAC卡位址的知識,MAC卡位址和IP位址的區別以及MAC卡位址在實際應用中所涉及到的安全問題。

  一、基礎知識

  如今的網路是分層來實現的,就像是搭積木一樣,先設計某個特定功能的

模塊,然後把模塊拼起來組成整個網路。局域網也不例外,一般來說,在組網上我們使用的是IEEE802參考模型,從下至上分為:物理層、媒體接入控制層(MAC),邏輯鏈路控制層(LLC)。

  標識網路中的一台電腦,一般至少有三種方法,最常用的是域名位址、IP位址和MAC卡位址,分別對應應用層、網路層、物理層。網路管理一般就是在網路層針對IP位址進行管理,但由於一台電腦的IP位址可以由用戶自行設定,管理起來相對困難,MAC卡位址一般不可更改,所以把IP位址同MAC卡位址組合到一起管理就成為常見的管理方式。

  二、什麼是MAC卡位址

  MAC卡位址就是在媒體接入層上使用的位址,也叫物理位址、硬體位址或鏈路位址,由網路設備製造商生產時寫在硬體內部。MAC卡位址與網路無關,也即無論將帶有這個位址的硬體(如網卡、集線器、路由器等)接入到網路的何處,都有相同的MAC卡位址,它由廠商寫在網卡的BIOS裡。MAC卡位址可採用6字節(48比特)或2字節(16比特)這兩種中的任意一種。但隨著局域網規模越來越大,一般都採用6字節的MAC卡位址。這個48比特都有其規定的意義,前24位是由生產網卡的廠商向IEEE申請的廠商位址,目前的價格是1000美元買一個位址塊,後24位由廠商自行分配,這樣的分配使得世界上任意一個擁有48位MAC卡位址的網卡都有唯一的標識。另外,2字節的MAC卡位址不用網卡廠商申請。

  MAC卡位址通常表示為12個16進制數,每2個16進制數之間用冒號隔開,如:08:00:20:0A:8C:6D就是一個MAC卡位址,其中前6位16進制數08:00:20代表網路硬體製造商的編號,它由IEEE分配,而後3位16進制數0A:8C:6D代表該製造商所製造的某個網路產品(如網卡)的系列號。每個網路製造商必須確保它所製造的每個乙太網設備都具有相同的前三字節以及不同的後三個字節。這樣就可保證世界上每個乙太網設備都具有唯一的MAC卡位址。

  三、IP位址與MAC卡位址的區別

  IP位址基於邏輯,比較靈活,不受硬體限制,也容易記憶。MAC卡位址在一定程度上與硬體一致,基於物理,能夠標識具體。這兩種位址各有好處,使用時也因條件而採取不同的位址。

  四、為什麼要用到MAC卡位址

  這是由組網方式決定的,如今比較流行的接入Internet的方式(也是未來發展的方向)是把主機通過局域網組織在一起,然後再通過交換機和Internet相連接。這樣一來就出現了如何區分具體用戶,防止盜用的問題。由於IP只是邏輯上標識,任何人都隨意修改,因此不能用來標識用戶;而MAC卡位址則不然,它是固化在網卡裡面的。從理論上講,除非盜來硬體(網卡),否則是沒有辦法冒名頂替的(注意:其實也可以盜用,後面將介紹)。

  基於MAC卡位址的這種特點,局域網採用了用MAC卡位址來標識具體用戶的方法。注意:具體實現:在交換機內部通過「表」的方式把MAC卡位址和IP位址一一對應,也就是所說的IP、MAC綁定。

  具體的通信方式:接收過程,當有發給本機局域網內一台主機的資料包時,交換機接收下來,然後把資料包中的IP位址按照「表」中的對應關係映射成MAC卡位址,轉發到對應的MAC卡位址的主機上,這樣一來,即使某台主機盜用了這個IP位址,但由於他沒有這個MAC卡位址,因此也不會收到資料包。發送過程和接收過程類似,限於篇幅不敘述。

  綜上可知,只有IP而沒有對應的MAC卡位址在這種局域網內是不能上網的,於是解決了IP盜用問題。

  五、怎樣獲得自己的MAC卡位址

  MAC卡位址固化在網卡中的BIOS中,可以通過DOS命令取得。Win9x用戶可以使用winipcfg命令,Win2k/XP用戶可以使用ipconfig/all命令,其中用16進製表示的12位數就是MAC卡位址。

  六、MAC卡位址涉及到的安全問題

  從上面的介紹可以知道,這種標識方式只是MAC卡位址基於的,如果有人能夠更改MAC卡位址,就可以盜用IP免費上網了,目前網上針對小區寬帶的盜用MAC卡位址免費上網方式就是基於此這種思路。如果想盜用別人的IP位址,除了IP位址還要知道對應的MAC卡位址。舉個例子,獲得局域網內某台主機的MAC卡位址,比如想得到局域網內名為TARGET主機的MAC卡位址,先用PING命令:PING TARGET,這樣在我們主機上面的ARP表的快取記憶體中就會留下目標位址和MAC映射的記錄,然後通過ARP A命令來查詢ARP表,這樣就得到了指定主機的MAC卡位址。最後用ARP -s IP 網卡MAC卡位址,命令把網路閘道器的IP位址和它的MAC卡位址映射起來就可以了。



如果要得到其它網段內的MAC卡位址,那麼可以用工具軟件來實現,我覺得Windows優化大師中自帶的工具不錯,點擊「系統性能優化」→「系統安全優化」→「附加工具」→「集群Ping」,可以成批的掃出MAC卡位址並可以儲存到文件。

  小知識:ARP(Address Resolution Protocol)是位址解析協議,ARP是一種將
IP位址轉化成物理位址的協議。從IP位址到物理位址的映射有兩種方式:表格方式和非表格方式。ARP具體說來就是將網路層(IP層,也就是相當於OSI的第三層)位址解析為資料連接層(MAC層,也就是相當於OSI的第二層)的MAC卡位址。ARP協議是通過IP位址來獲得MAC卡位址的。

  ARP原理:某機器A要向主機B發送報文,會查詢本機的ARP快取記憶體表,找到B的IP位址對應的MAC卡位址後就會進行資料傳輸。如果未找到,則廣播A一個ARP請求報文(攜帶主機A的IP位址Ia——物理位址Pa),請求IP位址為Ib的主機B回答物理位址Pb。網上所有主機包括B都收到ARP請求,但只有主機B識別自己的IP位址,於是向A主機發回一個ARP響應報文。其中就包含有B的MAC卡位址,A接收到B的應答後,就會更新本機的ARP快取記憶體。接著使用這個MAC卡位址發送資料(由網卡附加MAC卡位址)。因此,本機高速快取記憶體的這個ARP表是本機網路流通的基礎,而且這個快取記憶體是動態的。ARP表:為了回憶通信的速度,最近常用的MAC卡位址與IP的轉換不用依靠交換機來進行,而是在本機上建立一個用來記錄常用主機IP-MAC映射表,即ARP表。
   
  七、如何修改自己的MAC卡位址

  MAC卡位址是固化在網卡中的,MAC卡位址具有唯一性,難道沒有辦法更改了麼?不是的,我們完全不用修改EPROM的內容,而只通過修改存儲單元的內容就能達到修改MAC卡位址的目的。例如在Windows中可以通過註冊表來修改。

  在「開始」表菜單的「執行」中輸入regedit.exe,打開註冊表編輯器,展開註冊表到:HKEY_LOCAL_MACHINE\System\CurrentControlSet\Control\Class\{ 4D36E972-E325-11CE-BFC1-08002BE10318 }子鍵,在子鍵下的0000,0001,0002等分支中查找DriverDesc(如果你有一塊以上的網卡,就有0001,0002……在這裡儲存了有關你的網卡的訊息,其中的DriverDesc的內容就是你的網卡的訊息描述,比如我的網卡就是Intel 21041 based Ethernet Controller),在這裡假設你的網卡在0000子鍵。

  在0000子鍵下新增一個字元串,命名為「NetworkAddress」,鍵值為修改後的MAC卡位址,要求為連續的12個16進制數。然後在「0000」子鍵下的NDI\params中新增一項名為NetworkAddress的子鍵,在該子鍵下新增名為「default」的字元串,鍵值為修改後的MAC卡位址。

  在NetworkAddress的子鍵下繼續建立名為「ParamDesc」的字元串,其作用為指定NetworkAddress的描述,其值可為「MAC Address」。這樣以後打開網路鄰居的「內容」,雙擊相應的網卡就會發現有一個「高階」設置,其下存在MAC Address的選項,它就是你在註冊表中加入的新項NetworkAddress,以後只要在此修改MAC卡位址就可以了。

  關閉註冊表,重新啟動,你的網卡位址已改。打開網路鄰居的內容,雙擊相應網卡項會發現有一個MAC Address的高階設置選項,用於直接修改MAC卡位址。

  當然,你還可以用工具軟件來修改網卡的MAC卡位址,如MAC2001這款軟件就可以達到我們的目的。

  八、如何解決MAC卡位址帶來的安全問題

  我們可以將IP位址和MAC卡位址捆綁起來來解決這個問題。進入「MS-DOS方式」或「命令提示字元」,在命令提示字元下輸入命令:ARP -s 10.88.56.72 00-10-5C-AD-72-E3,即可把MAC卡位址和IP位址捆綁在一起。這樣,就不會出現IP位址被盜用而不能正常使用網路的情況,可以有效保證小區網路的安全和用戶的應用。

  注意:ARP命令僅對局域網的上網代理服務器有用,而且是針對靜態IP位址,如果採用Modem撥號上網或是動態IP位址就不起作用。

  不過,只是簡單地綁定IP和MAC卡位址是不能完全的解決IP盜用問題的。作為一個網路供應商,他們有責任為用戶解決好這些問題之的後,才交給用戶使用,而不是把安全問題交給用戶來解決。不應該讓用戶來承擔一些不必要盜用的損失。

  作為網路供應商,最常用也是最有效的解決方法就是在IP、MAC綁定的基礎上,再把連接阜綁定進去,即IP-MAC-PORT三者綁定在一起,連接阜(PORT)指的是交換機的連接阜。這就需要在布線時候做好連接阜定時管理工作。在布線時應該把用戶牆上的接線盒和交換機的連接阜一一對應,並做好登記工作,然後把用戶交上來的MAC卡位址填入對應的交換機連接阜,進而再和IP一起綁定,達到IP-MAC-PORT的三者綁定。這樣一來,即使盜用者擁有這個IP對應的MAC卡位址,但是它不可能同樣擁有牆上的連接阜,因此,從物理通道上隔離了盜用者。

[kyochan03 在  2010-8-27 11:53 PM 作了最後編輯]
發表人: 好下載    時間: 2010-8-28 12:09 AM

可以增設軟體防火牆就好,把port80直接檔掉(MSN等都可以用port封鎖),加設密碼,讓員工不能修改,簡單省事,找免費的又可以省下授權費用,不過既然是管理的問題...不如抓到一次扣薪200,抓到兩次扣薪500,扣到剩基本工資...



歡迎光臨 TWed2k (http://twed2k.org/) Powered by Discuz! 4.1.0