企業如何管理上網行為

• 手工指定IP

  先是手工登記了全部客戶端的MAC地址，并根據部門劃分了IP地址段，預留一段IP以防部門加人。而且電腦配置里明確登記這些，使用者與IP對應，主要是方便我對號入座。（PS：如果你電腦多，手工指定麻煩，也可以采用DHCP設置靜態地址分配的方法）公司原來的DHCP自動可以讓外來客戶也能上網，非常不安全，于是申請了一條寬帶又加了個無線路由，客戶來必須問我要密碼才能上網。

• 設置IP地址過濾和MAC地址過濾

  只允許登記的分配里的那些IP訪問網絡,防止客戶端私自指定其它IP上網，逃避追查。只允許所有登記的MAC訪問網絡，防止客戶端私接其它電腦、或者更換網卡、甚至修改本機MAC，逃避追查。

• 進行IP與MAC綁定

  將路由器的ARP表設置成靜態，防止ARP欺騙，客戶機的正確MAC信息不會被篡改。將IP與MAC的對應關系固定下來，這樣還能防止客戶端盜用別人的IP上網。一臺客戶機的MAC地址在允許訪問的列表內，他手工指定了一個原本給別人預留的IP，此IP也在允許訪問的IP列表內。但是他還是上不了網，IP與MAC的對應關系不對，路由器會認為他在進行ARP欺騙，阻止他的數據，同時將信息記入日志。

• 在客戶機上綁定路由器的IP和MAC信息

  目的是防止客戶機受到ARP欺騙，網關的正確MAC信息不會被篡改。方法是建立一個批處理文件：

       arp -d
　　arp -s 網關IP　網關MAC

將此文件設置成開機自動運行。完成以上工作，ARP病毒就不怕了，其實針對ARP病毒最可靠的方法就是我這個雙綁的方法。不信的人可以去試試。

• 屏蔽一些不能上的網站，該開的端口開，不開的就不開

  直接開啟路由防火墻，把一些不需要公司上的網站全羅列在里面，比如各種視頻網站、QQ空間、開心網等，而且對于一些直接封外網IP段（這個要小心些，有次我就封后，導致10086的手機郵箱進不來了，后來叫電信幫查才知道是我路由封了它們的一個IP），如此保持上網上的也是正規網站。

回答所涉及的環境：聯想天逸510S、Windows 10。