Internet网络并不都是阳光明媚，也有乌云漫布!这不，在网上冲浪时经常遭遇安全“骚扰”，其中在局域网环境中尤以非法偷用他人工作站的IP地址最为常见，这种现象严重影响了网络管理员对局域网网络的高效管理与维护。为了让工作站能够安全通过网络访问内容，我们首先应该从保护好本地工作站的IP地址做起!现在，本文特意想大家所想、急大家所急，为各位朋友倾力贡献多则保护IP地址的妙招，希望大家能从下面的内容中得到一点收获!

　　保护IP地址的必要性

　　我们知道，工作站使用的IP地址其实是一个相对静态的逻辑地址，它的数值能够被普通用户设置和修改，如果我们想限制普通用户随意修改IP地址的话，可以使用局域网中的DHCP服务器来为工作站动态分配IP地址，可是这种分配地址的方式容易给网络管理带来麻烦。此外，许多网卡自身携带的网卡配置程序，也可以让用户能很轻松地修改IP和MAC地址。要是没有网卡配置程序的话，用户也能采用其他软件，来修改网卡的MAC地址，甚至通过修改注册表的方式，来实现欺骗上层网络应用的目的，这么说来工作站的IP地址就很容易被别人盗用。要是发生IP地址被他人非法偷用的现象时，轻则容易造成目标工作站不能继续上网，严重的话能造成整个局域网网络内的所有工作站都不能上网;倘若局域网中路由器使用的IP地址被他人偷用的话，那整个局域网网络可能就全完蛋了。

　　保护IP地址的各种招法

　　既然工作站的IP地址被非法用户偷用，容易导致工作站无法上网，那么我们能否找到一些合适、有效的方法，来阻止局域网中的所有工作站用户不能随意更改IP地址，以保证整个局域网网络能始终高效工作呢?答案是肯定的!我们可以使用下面的特殊绝招，来有效保护工作站IP地址的安全性!

　　1、修改组策略，禁止访问连接属性

　　这种方法是通过修改组策略中的有关局域网连接组件的属性，来达到限制用户随意更改网络连接属性目的的，一旦用户无法打开网络连接属性窗口，那么他自然也就无法随意更改工作站网卡的IP地址了。倘若你使用的是Win2000工作站时，那么你就可以按照如下步骤，来限制用户盗用别人的IP地址：

　　依次单击“开始”/“运行”命令，在打开的系统运行对话框中，输入组策略编辑命令“gpedit.msc”，单击“确定”按钮后，再依次展开组策略编辑界面中的“用户配置”文件夹、“管理模板”文件夹、“网络”文件夹、“网络及拨号连接”文件夹;

　　接着在对应“网络及拨号连接”文件夹右边的子窗口中，选中“可以访问lan连接组件的属性”选项，并用鼠标双击之，在其后出现的设置对话框中，选中“禁用”选项，同时单击“确定”按钮，这样用户日后就无法进入到TCP/IP属性设置对话框，去修改网卡的IP地址参数了。不信的话，你可以打开网络连接属性窗口，再选中“Internet协议(TCP/IP)”选项时，你会发现此时的“属性”按钮已经失效了(如图1所示)。

　　当然，你也可以在对应“网络及拨号连接”文件夹右边的子窗口中，选中“允许访问lan连接的属性”选项，并用鼠标双击之，再在其后的设置对话框中选中“禁用”选项，并单击“确定”按钮，这样用户日后连网络连接属性窗口都打不开了，更不要说去修改网络参数了。这种方法实现起来虽然很简单，但要是用户熟悉组策略编辑操作的话，那么它就没有多大作用了。

2、设置注册表，阻止打开网络属性

　　这种方法是通过修改注册表相关网络分支的方法，来阻止用户随意进入网络属性设置窗口，从而实现更改IP地址的目的。下面就是该方法的具体实现步骤：

　　首先打开系统的运行框中，在其中执行注册表编辑命令“regedit”，在其后出现的编辑对话框中，依次用鼠标展开其中的注册表分支子项HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Policies\Network，如图2所示;

　　在对应“Network”分支右边的子窗口中，用鼠标右键单击一下空白区域，从打开的快捷菜单中依次执行“新建”/“Dword值”命令，并将新创建好的Dword值名称设置为“NoNetSetup”，同时将它的数值设置为“1”，最后单击“确定”按钮，并重新启动一下计算机系统;

　　之后，你再尝试一下打开网上邻居属性窗口，此时你会发现系统已经不允许对网络参数进行修改了，这样工作站的IP地址当然也无法修改了。

　　当然，你可以将鼠标定位在HKEY_CLASSES_ROOT\Interface\{0000010C-0000-0000-C000-000000000046} 分支中，将该分支直接删除掉，或者将下面的选项数值设置为无效，同样也能实现阻止用户随意进入网络属性设置窗口的目的。这种方法仅在Win98环境下有效，而且需要用户熟悉注册表的编辑工作，否则的话请不要随意更改注册表设置，以免造成系统无法正常运行。

　　3、修改系统服务，隐藏本地连接图标

　　这种方法是通过停止系统的网络连接服务的方法，来达到阻止用户进入网络参数设置窗口而随意修改IP地址目的的。在使用该方法时，你可以按照如下步骤来进行：

　　依次单击“开始”/“程序”/“管理工具”/“服务”命令，在弹出的系统服务列表窗口中，找到和网络与拨号连接相关的服务“Network Connections”选项，并用鼠标双击之;

　　在弹出的图3所示界面中，单击“启动类型”处的下拉按钮，从弹出的下拉菜单中选中“已禁用”选项，再依次单击“应用”、“确定”按钮，这样用户就无法在系统的网络和拨号连接窗口中，找到本地连接的图标了，如此一来他们自然也就无法打开网络属性设置窗口，从而对工作站的IP地址进行随意改动了。当然，要是你将“Plug and play”服务设置为禁止的话，只要重新启动一下计算机系统，你也将无法找到本地连接图标的“影子”。这种方法尽管可以让用户无法修改工作站的网络参数，但它会影响到拨号网络设置、添加新连接设置等，因此该方法只能用于没有拨号连接的情况下，或者适用于不需要进行其他类型的网络连接条件下。

　　除了通过修改系统服务来隐藏本地连接图标外，我们还能通过取消网络和拔号连接图标的反注册操作，让系统无法找到本地连接图标，从而实现隐藏网络属性设置窗口的目的。下面就是该方法的具体实现方法：

　　依次单击“开始”/“运行”命令，在打开的系统运行对话框中，输入“regsvr32 Netcfgx.dll/u”命令，再单击“确定”按钮;同样地再依次执行“regsvr32 Netman.dll/u”命令、“regsvr32 Netshell.dll/u”命令，最后再重新启动一下计算机系统，这样系统就找不到本地连接图标了，用户自然也就没有办法打开网络参数设置窗口，进行更改IP地址操作了。由于这种方法需要修改系统的注册表，因此在执行上述命令之前，最好先对注册表进行一下备份，以免遇到意外，导致系统不能正常运行。

　　4、巧妙绑定地址，拒绝强行更改地址

　　这种方法是目前最为常用的一种方法，它通过将工作站网卡的IP地址和物理地址绑定在一起的办法，来限定指定工作站的网卡只能使用指定的IP地址，如果随意改成其他数值的IP地址，那么该工作站就无法上网。

　　在使用该方法之前，你首先需要将指定网卡的物理地址查找到;要是你只有少量的工作站地址需要绑定时，那么你可以在Win2000或WinXP系统中，通过“ipconfig /all”命令，来得到指定工作站网卡的MAC地址，在Win98环境中通过“msconfig”命令，得到指定网卡的物理地址。倘若你需要查找多台工作站网卡的MAC地址时，就可以借助一款名为“MAC地址扫描器”的专业查找工具，来批量获得整个网络内所有工作站网卡的物理地址。

　　查找到指定网卡的物理地址后，你可以依次单击“开始”/“运行”命令，在弹出的系统运行框中，执行“cmd”命令，将系统切换到Ms-dos工作方式，并在DOS命令行中执行“arp -s ip mac”格式的字符串命令，这样就能将指定IP地址限制在指定网卡中了。例如，要是你希望将“61.100.120.10”这样的IP地址，限制在MAC地址为“00-01-30-17-86-50”的网卡上时，那么你可以在DOS命令行中输入“arp -s 61.100.120.10 00-01-30-17-86-50”字符串命令，单击回车键后，该工作站的IP地址就无法随意更改了;倘若你此时强行更改IP地址时，你的工作站无论如何都是连不上网的。这种方法虽然操作起来有点简单，但它只对通过代理服务器方式上网的工作站有效，而对其他类型的工作站却无效。

　5、配置COM属性，调整身份验证级别

　　这种方法是通过修改分布式COM配置属性的方法，来调整应用程序是以匿名的权限来被工作站用户来操作，这样就能达到阻止工作站用户访问“本地连接”属性对话框的目的了。在使用该方法时，你可以按照如下设置步骤来进行：

　　依次单击“开始”/“运行”命令，在弹出的系统运行对话框中，输入分布式COM配置命令“dcomcnfg”，单击“确定”按钮后，打开一个COM配置属性对话框，单击该窗口的“默认属性”标签;

　　在弹出的图4所示的标签页面中，首先选中“在这台计算机上启用分布式COM”复选项，然后单击“默认身份验证级别”处的下拉按钮，从打开的下拉列表中选中“连接”选项;

　　再单击“默认模拟级别”处的下拉按钮，从弹出的下拉列表中，选中“匿名”选项，再单击“确定”按钮，接着将计算机系统重新启动一下，这样工作站中的任意administrator组内的用户，都将无法访问到“本地连接”设置窗口了。不信的话，你可以打开网络拨号连接窗口，看看现在是否还能找到“本地连接”图标的影子，要是连“本地连接”图标都找不着的话，用户还能随意修改工作站的IP地址以及其他网络参数吗?这种方法仅在Win2000以上版本的系统中有效，而且仅对系统中的Administrator组内的用户有效。

　　6、编辑系统策略，隐藏网上邻居图标

　　这种方法是通过编辑系统策略的方法，来让工作站用户无法找到系统中的网上邻居功能，这样他们自然就无法打开网络属性设置窗口，来随意更改工作站的IP地址了。在隐藏系统的网上邻居功能时，可以按照如下的步骤来进行：

　　首先打开系统运行对话框，在其中执行“poledit”命令，在随后出现的系统策略编辑窗口中，单击“文件”项下面的“打开注册表”选项，在接着打开的窗口中，用鼠标双击一下“本地用户”图标，这样你就能看到一个如图5所示的设置界面了;

　　展开“本地用户”项目下面的“外壳界面”选项，再打开其中的“限制”选项，并将“隐藏网上邻居”项目选中，然后单击“确定”按钮，再单击一下系统策略编辑窗口中的“保存”工具栏按钮，并将计算机系统重新启动一下，这样的话工作站用户就无法随意修改网卡IP地址了。这种方法比较通用，几乎可以在各种操作系统下都能适用。

7、借用专业工具，限制随意更改地址

　　这种方法主要是通过一款名为“easy网管”的专用工具，来限制工作站用户随意更改网卡IP地址的。在使用该方法时，我们可以先从网络中下载获得最新版本的“easy网管”程序，然后在局域网服务器中安装好该程序的服务端程序，在局域网需要限制IP地址的工作站中安装好该程序的客户端程序;

　　接着启动服务器中的“easy网管”程序，系统会打开如图6所示的监控主窗口，在该窗口中我们就能看到局域网中所有工作站的上网情况(当然所有工作站都需要事先安装好easy网管的客户端程序);由于“easy网管”程序在默认状态下，禁止工作站用户随意更改IP地址的，一旦他们改变了自己工作站IP地址时，该程序将强制该工作站断开网络连接，要想重新上网，必须请网络管理员帮忙才能解决问题。这种方法实现效果还是比较好的，任何用户都无权利修改网卡IP地址;不过操作起来有点麻烦，需要在服务器中和工作站中分别安装对应程序才能生效。