企业如何管理上网行为

• 手工指定IP

  先是手工登记了全部客户端的MAC地址，并根据部门划分了IP地址段，预留一段IP以防部门加人。而且电脑配置里明确登记这些，使用者与IP对应，主要是方便我对号入座。（PS：如果你电脑多，手工指定麻烦，也可以采用DHCP设置静态地址分配的方法）公司原来的DHCP自动可以让外来客户也能上网，非常不安全，于是申请了一条宽带又加了个无线路由，客户来必须问我要密码才能上网。

• 设置IP地址过滤和MAC地址过滤

  只允许登记的分配里的那些IP访问网络,防止客户端私自指定其它IP上网，逃避追查。只允许所有登记的MAC访问网络，防止客户端私接其它电脑、或者更换网卡、甚至修改本机MAC，逃避追查。

• 进行IP与MAC绑定

  将路由器的ARP表设置成静态，防止ARP欺骗，客户机的正确MAC信息不会被篡改。将IP与MAC的对应关系固定下来，这样还能防止客户端盗用别人的IP上网。一台客户机的MAC地址在允许访问的列表内，他手工指定了一个原本给别人预留的IP，此IP也在允许访问的IP列表内。但是他还是上不了网，IP与MAC的对应关系不对，路由器会认为他在进行ARP欺骗，阻止他的数据，同时将信息记入日志。

• 在客户机上绑定路由器的IP和MAC信息

  目的是防止客户机受到ARP欺骗，网关的正确MAC信息不会被篡改。方法是建立一个批处理文件：

       arp -d
　　arp -s 网关IP　网关MAC

将此文件设置成开机自动运行。完成以上工作，ARP病毒就不怕了，其实针对ARP病毒最可靠的方法就是我这个双绑的方法。不信的人可以去试试。

• 屏蔽一些不能上的网站，该开的端口开，不开的就不开

  直接开启路由防火墙，把一些不需要公司上的网站全罗列在里面，比如各种视频网站、QQ空间、开心网等，而且对于一些直接封外网IP段（这个要小心些，有次我就封后，导致10086的手机邮箱进不来了，后来叫电信帮查才知道是我路由封了它们的一个IP），如此保持上网上的也是正规网站。