對于大中型企業網絡來說，關于局域網內部的管理一直是一個非常復雜和令人頭痛的問題，一個用戶哪怕只是不小心點擊一個惡意網站的鏈接，就會在幾秒鐘之內感染病毒，然后立刻影響到整個局域網的穩定和安全，加上現在惡意網站非常泛濫，病毒傳播手段花樣疊出，局域網安全必須受到廣大網絡管理人員的重視。如果是在4年前，局域網還是非常安全的，很多公司也習慣了直接在局域網共享各種常用軟件和資料，但是現在為了獲得一些非正當的利益，很多病毒開發者已經打起了局域網的主意：先期是由于網游的熱火而產生了ARP病毒。這是一種欺騙性質的病毒，雖然它的目的并不是破壞局域網，但為了達到它盜號盜寶的目的，會嚴重影響其它局域網用戶的正常上網活動。所謂ARP攻擊其實就是內網某臺主機偽裝成網關，欺騙內網其他主機將所有發往網關的信息發到這臺主機上。但是由于此臺主機的數據處理轉發能力遠遠低于網關，所以就會導致大量信息堵塞，網速越來越慢，甚至造成網絡癱瘓，而且ARP病毒這樣做的目的就是為了截取用戶的信息，盜取諸如網絡游戲帳號、QQ密碼等用戶信息，因此它不僅會造成局域網堵塞，也會威脅到局域網用戶的信息安全。

接著很多針對特殊服務器或是網游私服的DDOS攻擊也開始大舉利用企業網絡中的客戶機作為“僵尸”電腦，對指定的服務器IP發送大量的數據包，“僵尸”電腦越多，服務器被消耗的帶寬也越多，利用這個原理耗盡服務器的帶寬，就可以達到讓對方服務器掉線以便對服務器運營者進行惡意勒索的目的。這種攻擊方式雖然是針對外網服務器，但是它在攻擊過程中需要向路由器發送大量的數據包，會直接導致路由器僅有的100M LAN口被“堵滿”，因此其他局域網的計算機的請求無法提交到路由器進行處理，結果就產生局域網計算機全部“掉線”的現象。只需要正確調整路由器，方可防范網絡中的惡意攻擊。

一 、關閉服務
我們知道DHCP稱為動態主機配置協議。DHCP服務允許工作站連接到網絡并且自動獲取一個IP地址。配置DHCP服務可以為每一個網絡客戶提供一個IP地址、子網掩碼、缺省網關、一個WINS服務器的IP地址，以及一個的IP地址。而目前局域網中的路由器卻開啟DHCP服務，又在局域網內設置了靜態的IP地址，與DHCP服務在一個網段中。時間久了，可能經常出現IP地址沖突現象，兩者不能同時使用。因為路由器初始化狀態，DHCP服務是處于開啟狀態的；設置時，如果你的局域網內設置了靜態的地址，不要再啟用DHCP服務。如圖一

三 、開啟流量統計
開啟流量統計的目的是為了觀察局域網的每一臺計算機通過路由器的數據包，以便分析這臺計算機是否感染了病毒，如果感染了，就能夠及時與局域網中的其它計算機做好隔離。

四 、IP地址和mac 地址綁定
面對日益嚴重的內網攻擊和整網掉線問題，很多路由器開發商也在產品中加入了相關技術，加入IP-MAC綁定功能可以防止局域網的ARP欺騙。首先要使用相關的軟件學習到局域網中mac地址與IP地址所對應的關系，然后再逐步添加。添加完成后，使所用條目生效。（建議在每個客戶端也要做好相應的綁定）如圖三

【相關文章】

• 保障城域網路由器網絡層可靠性技術分析
  

• 學習中小企業安全路由器的基本配置方法
  

• 無線路由寬帶之小型辦公組網實戰