巧妙谢绝危险访问

引言：网络环境纷繁复杂，在光鲜靓丽的外表下，有一些危险隐藏在黑暗之中。例如，在局域网甚至Internet网络中，常常有些不安全的IP地址，没有经过管理员的允许或授权，偷偷进行一些不可告人的访问，这种访问轻则影响网络传输性能，重则能带来安全麻烦，甚至可以造成无法估量的经济损失。为了保障网络访问安全，我们可以自己动手，想方设法，巧妙谢绝不安全IP地址的访问！

谢绝使用无线网络

如果单位的无线网络允许不安全IP地址使用，既会降低无线网络的传输性能，又会给单位网络带来安全威胁。为了避免这种现象出现，我们不妨利用网卡MAC地址过滤方法，来谢绝不安全IP地址偷偷使用单位无线局域网。目前，很多品牌的无线路由设备都具有MAC地址过滤功能，巧妙借助这项功能，能有效地将不安全IP地址的终端计算机阻挡在单位无线网络大门之外。

众所周知，MAC地址其实是一种硬件地址，它由12位16进制数组成，一共长48比特，专门用来指定网络设备位置的，前面24比特主要用来标识厂商的，后面24比特由厂商自行分派。所有上网的设备一般都有一个全球惟一静态的MAC地址，将无线网络中安全可信计算机的MAC地址，手工导入到无线路由器内置的MAC地址过滤表中，日后只有拥有这些MAC地址的终端计算机，才会被无线路由器识别为安全可信计算机，从而有资格接入单位无线网络中进行上网访问，其他计算机都会被识别为不安全地址，它们是无法上网访问的。

在谢绝不安全IP地址使用单位无线网络时，首先以管理员权限登录进入无线路由器后台系统，将鼠标定位到左侧列表中的“安全设置”、“防火墙设置”节点上，在指定节点的右侧设置区域中，将“开启MAC地址过滤”勾选起来，并且在“缺省过滤规则”设置项处，选中“仅允许已设MAC地址列表中已启用的MAC地址访问Internet”选项，按下“保存”按钮退出设置保存区域。

之后将鼠标返回到无线路由器后台系统页面的“安全设置”、“MAC地址过滤”节点上，在指定节点下单击“添加新条目”按钮，弹出新条目添加设置框，正确输入安全可信计算机系统的网卡MAC地址，按下“保存”按钮退出。按照相同的操作方法，依次将单位无线网络中其他安全IP地址对应的MAC逐一导入进来，最后也要记得执行保存操作。

完成上述设置任务后，日后只有安全的IP地址才能使用无线路由器，进行无线网络访问操作，而不安全IP地址在尝试进行无线连接时，无线路由器因为无法正确识别它们的MAC地址，将会认为它们是不安全连接，并将他们拒之门外。

谢绝访问重要网站

一些重要的网站，每天的访问量可能很高，如果在某个时刻若干个不安全IP地址，同时访问对应网站上的内容，将会给网站的运行稳定性和安全性带来很大的挑战。为了保护重要网站的安全，想办法谢绝那些不安全IP地址的访问，是相当有必要的。

正常来说，那些不安全IP地址进行Web访问时，都会在服务器的系统日志中留下痕迹，通过查看日志内容，找出这些不安全IP地址究竟来源于什么位置。例如，笔者曾经发现某个网站页面，在遭遇短时间内高强度访问后，通过查看相关日志信息，看到不安全地址大多来源于61.157.100.*、60.155.82.*这两个网段。考虑到这些不安全IP地址在Web访问时，都需要经过域名解析环节，笔者决定取消这些网段的域名解析服务，这样它们的Web访问请求就到不了指定的重要站点服务器。

在Apache服务器环境下，通过编辑.htaccess文件，就能很轻易地谢绝不安全IP地址访问重要网站。从特定网站的根目录下面找到.htaccess文件，借助文本编辑器打开该文件，在其中添加如下代码即可：

经过实际测试，来源于61.157.100.*、60.155.82.*这两个网段的不安全IP地址，果然被Web服务器拒绝访问了。

当然，要是大家不知道哪些IP地址是不安全的，也可以尝试到特定站点的日志文件中去寻找，不安全IP地址进行Web访问时，往往都有十分明显的特征，例如说在特定的时间内进行访问，仅对站点下的某一个特定页面内容进行访问并多次来访，使用的终端系统分辨率是一样的，上网的浏览器版本也是一样的，只要不安全IP地址具有这几个特征，建议大家谢绝它们的访问。

谢绝随意更改地址

单位局域网环境下，有些不安全IP地址为了躲避上网限制，常常会私自更改地址，这容易造成整个局域网的管理混乱。有鉴于此，我们可以使用“easy网管”这款外力工具，来限制不安全IP地址用户随意更改上网地址。

图1 主操作界面

在进行该操作时，大家不妨先从Internet网络中下载获得最新版本的“easy网管”程序，之后在单位网管计算机中安装好该工具的服务端程序，在局域网其他普通计算机中安装好该工具的客户端程序。

下面在网管计算机中启动运行“easy网管”程序，弹出如图1所示的主操作界面，在该界面中大家就可以直观看到单位网络中所有终端计算机的网络连接状态（当然所有终端计算机都需要事先安装好“easy网管”的客户端程序）。“easy网管”程序在缺省状态下，是禁止所有IP地址用户随意更改上网地址的，要是他们自行调整了自己计算机的IP地址时，该管理工具将自动强制特定计算机断开网络连接，如果希望重新上网访问，一定要请网络管理员帮忙才能解决问题。这种管理措施控制效果还是相当好的，任何不安全IP地址用户，甚至是安全IP地址用户，都无权利修改上网IP地址；只是该方法操作起来有点麻烦，需要在单位局域网的服务器和普通计算机中依次安装好相关控制程序才行。

谢绝使用有线网络

要想谢绝不安全IP地址使用有线网络，可以使用可管理交换机的端口绑定功能，仅允许那些管理员认为合法的终端计算机访问网络，其他终端用户即使抢用了别人的安全IP地址，也不会引起网络运行混乱。

例如，单位网络中有一台Web服务器，使用了“10.172.11.20”的IP地址，为了防止不安全IP地址用户抢用该地址，造成Web服务器不能正常访问，管理员不妨在单位网络的核心三层交换机后台系统，将Web服务器的“10.172.11.20”地址与网卡MAC地址相互绑定在一起。这时，即使有不安全用户抢用了该IP地址，他们也不能使用该地址接入单位局域网，那么单位网络的运行就不会轻易受到干扰。下面就是详细的操作操作步骤：

首先获取Web服务器的网卡MAC地址，以管理员权限登录进入Web服务器所在主机系统，逐一点选“开始”、“运行”命令，展开系统运行对话框，输入“cmd”命令进入MS-DOS工作窗口。在该窗口命令提示符下，输入“ipconfig /all”命令，从返回的如图2所示结果信息中，不难看出Web服务器所在主机的网卡MAC地址为“d4be.d98e.a847”。

其次执行地址绑定操作。登录单位局域网交换机后台系统，进入系统全局视图模式，执行“address-bind 10.172.11.20 d4be.d98e.a847”命令，就能将Web服务器IP与MAC地址绑定在一起了。之后使用“arp 10.172.11.20 d4be.d98e.a847 arpa gigabitEthernet 1/3”命令，将Web服务器地址绑定到其所连的交换机光口上。如此一来，单位网络中的不安全IP地址，将无线通过交换机使用有线网络，即使他们抢用了Web服务器IP地址，也不会造成Web服务器上网不稳定现象，这是因为其他不安全IP地址用户无法使用“10.172.11.20”这个IP地址进行网络接入操作。

图2 结果信息

此外，如果单位网络是通过路由器来组网的，管理员也可以使用路由器自带的“IP与MAC绑定”功能，实现不安全地址的谢绝访问操作。例如，在通过TP-LINK R480T宽带路由器组网环境中，管理员可以使用IE浏览器窗口，远程打开路由器后台系统管理页面，将鼠标定位到“IP与MAC绑定”、“静态ARP绑定设置”节点上，在对应节点设置区域，将“ARP绑定”修改为“启用”，单击“保存”按钮后退出设置页面，再按下“增加单个条目”按钮，将先前获取到的Web服务器IP地址与MAC地址绑定起来就OK了。

谢绝进行Ping攻击

大 家 知 道，通 过Windows系统内置的Ping命令，能够测试出特定计算机的在线状态。但是，经常有一些恶意用户会通过该命令，频繁地向单位网络中的服务器发送Ping测试包，例如，在MS-DOS命令行窗口中，使用“ping-1 65500-t xx.xx.xx.xx”命 令（这里的“xx.xx.xx.xx”为单位网络中的服务器主机IP地址），就能向特定服务器主机发送大量的ping测试包数据；如果不安全IP地址用户在局域网的多台终端系统中同时使用“ping-1 65500-t xx.xx.xx.xx”命 令，那么特定服务器主机的宝贵系统资源将会很快被消耗殆尽，最终会造成服务器系统发生瘫痪现象。

要想防止不安全IP地址的Ping命令攻击，管理员可以在单位网络特定服务器主机中使用类似天网防火墙这样的安全保护工具，同时打开对应防火墙的安全配置窗口，勾选“不允许别人用Ping命令探测本机”功能选项即可。当然，如果管理员身边暂时没有专业防火墙工具时，也能通过Windows服务器系统内置的防火墙程序，谢绝不安全IP地址用户发起的Ping命令攻击。例如，在Windows Server 2008服务器系统环境下，巧妙使用系统内置防火墙，就能轻松谢绝不安全IP地址用户进行Ping攻击，下面就是具体的操作步骤：

首先逐一单击“开始”、“所有程序”、“管理工具”命令，用鼠标双击管理工具列表中的“高级安全Windows防火墙”图标，打开服务器系统高级安全Windows防火墙程序界面。点击左侧显示区域中的“入站规则”选项，选择“新规则”标签，展开新建入站规则向导设置框。按照向导设置框的提示，先将新建防火墙的规则类型设置为“自定义”，配置好与该防火墙规则保持匹配的应用程序详细路径，选中“所有程序”项目，将防火墙规则协议类型设置为“ICMPv4”，再从端口下拉列表以及远程端口下拉列表选中“所有端口”，同时将防火墙规则选择为匹配所有不安全的IP地址，最后勾选“阻止连接”选项，确认后退出设置对话框。这样一来，服务器系统就会自动谢绝所有不安全IP地址用户发动的Ping命令攻击。