■

限制访问危险站点

有的时候，局域网运行速度非常缓慢，引起这种故障的原因，常常是某些不务正业的终端用户偷偷访问视频站点，消耗了宝贵的网络出口带宽资源。如果能够“封杀”国内主流的一些视频站点，限制普通用户自由访问它们，那么网络带宽资源就不会被过度占用，自然局域网运行速度就不会受到影响了。要做到这一点，其实很简单，只要利用局域网路由器的访问控制列表功能，就能轻松限制局域网终端用户访问特定的危险站点了。

例如，要限制访问土豆视频站点时，首先需要使用ping命令测试土豆视频站点的域名，以返回目标站点的IP地址，这样我们就能通过访问控制列表限制IP地址的方式，来限制访问危险站点了，假设这里返回的土豆视频站点IP地址为“61.164.63.180”，如图1所示。当然，ping命令测试法获取到的IP地址有可能不全面，因为现在很多视频站点都采取特殊技术手段，将视频站点内容分散在多个IP地址的多台服务器中，以确保视频站点的工作稳定性；在这种情形下，ping命令测试法只能获取其中一台服务器的IP地址，其他服务器的IP地址无法探测到，这样通过访问控制列表限制一个IP地址，就无法达到限制用户访问特定站点的目的。只有在MS-DOS工作窗口中，输入“nslookup www.tudou.com”命令，才能获取土豆视频站点域名的所有IP地址。

当获取到危险站点的IP地址后，我们就能在局域网路由器后台系统，通过“Accesslist”命令创建访问控制列表了。以思科系列路由器为例，在创建访问控制列表，限制访问土豆视频站点时，先进入路由器后台系统，执行“configure terminal”命 令，切换到全局配置模式状态，输入“access-list 123 deny tcp any host 61.164.63.180 eq www”命令，来屏蔽土豆视频站点的IP地址，以限制局域网中的任何终端计算机去访问该站点。如果土豆视频站点还有其他IP地址时，只要反复执行上述命令，将相关的所有IP地址全部过滤掉。

为了让创建好的访问控制列表正式生效，我们还需要进入路由器的特定端口视图模式（该端口必须是局域网计算机与路由器的连接端口），执行字符串命令“IP access-group 123 out”，来将指定编号的访问控制列表应用于局域网计算机的连接端口，那么日后局域网中的任何一台计算机在上网访问时，就会受到上述访问控制列表的限制，自然它们也就不能随意访问土豆视频站点了。值得注意的是，如果危险站点的IP地址日后发生变化时，我们还需要及时进入路由器后台系统，修改以前的访问控制列表，确保将新的IP地址全部屏蔽掉。

限制访问DNS服务

由于工作的特殊性，某些单位可能会限制特定网段的终端用户上网访问，以避免发生单位重要数据对外泄密事故。要实现这种限制操作目的，我们有时只要在为局域网计算机提供域名解析服务的DNS服务器所在系统中，通过服务器系统内置的高级安全防火墙功能，来限制特定网段的计算机访问DNS服务即可，因为在没有了DNS服务的支持，那些终端计算机自然就无法随意访问外部站点了。

以Windows Server 2008服务器系统为例，在限制特定子网的用户访问局域网DNS服务器时，只要先以系统管理员权限登录Windows Server 2008系统，依次点击“开始”、“程序”、“服务器管理器”选项，弹出服务器管理器窗口。在该窗口的左侧列表中，依次展开“配置”、“高级安全Windows防火墙”、“入站规则”分支，用鼠标右键单击目标分支选项，点击快捷菜单中的“新规则”命令，切换到如图2所示的新规则创建向导设置框。

选中这里的“端口”选项，单击向导设置框中的“下一步”按钮，在其后弹出的设置界面中，正确输入DNS服务使用的网络端口号，依照提示输入需要限制访问的特定工作子网地址，同时将连接条件参数选择为“阻止连接”，之后设置好应用该新安全规则的使用场合，再为新创建的安全规则取一个合适名称，这样一来局域网中特定子网的计算机就无法通过单位DNS服务器访问外部站点了。

限制上网访问速度

目前不少单位局域网的出口带宽资源并不“富裕”，要是让一些不自觉的用户，在局域网环境中自由进行P2P应用下载操作，那么整个网络的出口访问速度都会受到显著影响。为了能让每台终端计算机都可以高效稳定地上网访问，我们不妨合理利用局域网路由器自带的流量控制功能，来限制每个上网端口的传输流量大小，以确保所有网络端口都能获取不错的上网速度，从而达到高效提升上网效率的目的！

例如，某局域网使用了D-Link DI-7000系列路由器组网，网络中经常有恶意用户偷偷使用P2P工具下载访问大容量数据，这对其他用户的正常上网带来了不小的影响，最明显的现象就是用户打开一个普通网页，都要经过漫长的等待。尽管借助“P2P终结者”之类的外力工具，能防止P2P应用过度消耗局域网宝贵的带宽资源，可是这种方法在部署有ARP防火墙的场合下，就无法获得理想的控制效果了。而善于使用局域网路由器内置的流量控制功能，限制每个网段地址的带宽大小，就能让整个局域网保持稳定的运行状态了。

在启用流量控制功能时，先登录局域网的某台终端计算机系统，在其中开启IE浏览器程序运行状态，在浏览窗口地址栏中输入局域网路由器的WEB管理地址，成功登录后进入到路由器设备的后台管理页面，选中并按下“流量控制”按钮，切换到如图3所示的流量控制页面，选中“启用流量控制”选项，同时点击“保存”按钮返回。

之后进入流量控制规则添加页面，根据实际情况输入需要限制访问速度的每一个虚拟工作子网IP地址，或者是某台终端计算机的IP地址，同时定义好上行速度、下行速度数值，这样，就能有效限制任意一台终端计算机随意占用宝贵的网络出口带宽资源了。为了让空闲的带宽资源得到合理利用，网络管理员还能针对上行速度、下行速度，进行适当的管理策略控制，让局域网中的每台终端计算机在网络带宽资源处于闲置状态的时候，能合理调配闲置带宽资源进行上网访问。

当然，也有的局域网路由器流量控制功能操作起来更简单，网络管理员只要为每个端口提供不同级别的带宽大小选项即可。例如，使用TLR4000系列路由器来组网时，网络管理员可以将路由器连接端口的带宽大小设置为128K，256K，512K，1M，2M，4M，8M等级别，以实现限制用户上网访问速度的目的。

图3 流量控制页面

限制访问特定端口

对于普通终端用户来说，用户能通过限制所有网络端口的方法，来保护终端计算机的运行安全，因为普通用户根本不必让自己的终端计算机对外提供任何网络服务。而对于对外提供网络服务的局域网服务器来说，网络管理员只要将必须用到的网络端口开放，比如只开放WWW服务的80端口、FTP服务的21端口、邮件服务的25、110端口等，其他的网络端口则全部限制访问。

对于基于Windows系统的服务器主机来说，网络管理员不需要在其中安装任何其他控制软件，只要简单地利用“TCP/IP筛选”功能，就能轻松限制访问特定服务器的端口号码。具体操作为：依次点击“开始”、“设置”、“网络连接”命令，进入网络连接列表界面，用鼠标右键单击其中的本地连接图标，从弹出的右键菜单中，选择“属性”命令，进入本地连接属性对话框。

选择“此连接使用下列项目”位置处的“Internet协议(TCP/IP)”选项，按下“属性”按钮，展开“Internet协议(TCP/IP)”属性对话框，单击“高级”按钮。在其后弹出的TCP/IP协议高级设置框中，点击“选项”标签，选中“TCP/IP筛选”标签，展开TCP/IP筛选属性框，选中“启用TCP/IP筛选”复选框，再将左边TCP端口上的“只允许”选上。这样用户就能根据实际情况，来自行添加或删除需要的TCP协议或UDP协议端口了。添加或者删除操作结束后，需要及时重新启动服务器系统，服务器的特定端口才能被保护起来。

限制访问共享资源

单位中的一些重要共享资源，有时只能给领导之类的特定用户访问，其他普通用户则不允许访问。虽然通过给共享文件夹添加访问口令的方法，能实现限制访问共享资源目的。但是面对一些有点技术手段的用户来说，这种方法可能没有任何作用，因为他们会通过破解密码的方法，来偷偷访问局域网中的重要共享资源！要达到彻底限制访问共享资源的目的，完全可以利用免费的天网防火墙或系统防火墙，来定制安全规则，指定共享文件夹只能让局域网中某一台固定的计算机访问。以天网防火墙为例，只要将其下载安装到共享资源所在的计算机系统中，开启它的运行状态，打开IP规则设置界面，双击“允许局域网的机器使用我的共享资源”选项，切换到IP规则修改对话框。在这里，先将“数据包方向”选项调整为“接收或发送”，之后依次点击“对方IP地址”、“指定地址”选项，同时在后面的“地址”位置处，输入单位领导所用计算机的IP地址，确认后保存设置操作。这样，即使没有为共享资源设置访问密码，特定的共享资源也只有单位领导那台计算机才能访问到，局域网中的其他计算机都无法访问到！