服务器安全配置讲座[转]服务器教程

服务器安全配置讲座[转]服务器教程（共7篇）由网友“草莓芒果西米露”投稿提供，以下是小编收集整理的服务器安全配置讲座[转]服务器教程，希望对大家有所帮助。

篇1：服务器安全配置讲座[转]服务器教程

服务器|安全

第一.在安装系统的时候首先需要把磁盘分区全部统一用NTFS格式

系统安装好以后,首先更新系统所有补丁,其次是打好ARP补丁,因为ARP漏洞在微软站上不能下载, 可通过此漏洞进行大批量的挂马

第二,修改硬盘权限.

NTFS系统权限设置 在使用之前将每个硬盘根加上 Administrators 用户为全部权限(可选加入SYSTEM用户)删除其它用户，

进入系统盘:权限如下

C:\\WINDOWS Administrators SYSTEM用户全部权限 Users 用户默认权限不作修改

其它目录删除Everyone用户，切记C:\\Documents and Settings下All Users\\Default User目录及其子目录

如C:\\Documents and Settings\\All Users\\Application Data 目录默认配置保留了Everyone用户权限

C:\\WINDOWS 目录下面的权限也得注意,如 C:\\WINDOWS\\PCHealth、C:\\windows\\Installer也是保留了Everyone权限.

删除C:\\WINDOWS\\Web\\printers目录，此目录的存在会造成IIS里加入一个.printers的扩展名，可溢出攻击

默认IIS错误页面已基本上没多少人使用了，建议删除C:\\WINDOWS\\Help\\iisHelp目录

删除C:\\WINDOWS\\system32\\inetsrv\\iisadmpwd，此目录为管理IIS密码之用，如一些因密码不同步造成500

错误的时候使用 OWA 或 Iisadmpwd 修改同步密码，但在这里可以删掉，下面讲到的设置将会杜绝因系统

设置造成的密码不同步问题。

打开C:\\Windows 搜索

net.exe;cmd.exe;tftp.exe;netstat.exe;regedit.exe;at.exe;attrib.exe;cacls.exe;format.com;

regsvr32.exe;xcopy.exe;wscript.exe;cscript.exe;ftp.exe;telnet.exe;arp.exe;edlin.exe;

ping.exe;route.exe;finger.exe;posix.exe;rsh.exe;atsvc.exe;qbasic.exe;runonce.exe;syskey.exe

修改权限，删除所有的用户只保存Administrators 和SYSTEM为所有权限

这些大家只要知道步骤 具体的操作我在结束后给大家相应的文档和路径去按照步骤来设置

这些权限设置好以后 然后打开本地安全策略

设置审核权限 更改GUSET帐户名字 并设置个很复杂的密码

本地安全策略配置

开始 > 程序 > 管理工具 > 本地安全策略

账户策略 > 密码策略 > 密码最短使用期限 改成0天[即密码不过期，上面我讲到不会造成IIS密码不同步]

账户策略 > 账户锁定策略 > 账户锁定阈值 5 次 账户锁定时间 10分钟 [个人推荐配置]

本地策略 > 审核策略 >

账户管理 成功 失败

登录事件 成功 失败

对象访问 失败

策略更改 成功 失败

特权使用 失败

系统事件 成功 失败

目录服务访问 失败

账户登录事件 成功 失败

地策略 > 安全选项 > 清除虚拟内存页面文件 更改为“已启用”

> 不显示上次的用户名 更改为“已启用”

> 不需要按CTRL+ALT+DEL 更改为“已启用”

> 不允许 SAM 账户的匿名枚举 更改为“已启用”

> 不允许 SAM 账户和共享的匿名枚举 更改为“已启用”

> 重命名来宾账户 更改成一个复杂的账户名

> 重命名系统管理员账号 更改一个自己用的账号

这些都是在本地安全里设置的

第三 ,关闭不需要的服务

IPSEC Services

Print Spooler

TCP/IP NetBIOS Helper

这3个需要停止其服务

第四打开注册表 修改远程端口 关闭默认共享等

关闭445端口

HKEY_LOCAL_MACHINE\\System\\CurrentControlSet\\Services\\netBT\\Parameters

新建 “DWORD值”值名为 “SMBDeviceEnabled” 数据为默认值“0”

禁止建立空连接

HKEY_LOCAL_MACHINE\\SYSTEM\\CurrentControlSet\\Control\\Lsa

新建 “DWORD值”值名为 “RestrictAnonymous” 数据值为“1” [默认为1]

禁止系统自动启动服务器共享

HKEY_LOCAL_MACHINE\\SYSTEM\\CurrentControlSet\\Services\\LanmanServer\\Parameters

新建 “DWORD值”值名为 “AutoShareServer” 数据值为“0”

禁止系统自动启动管理共享

HKEY_LOCAL_MACHINE\\SYSTEM\\CurrentControlSet\\Services\\LanmanServer\\Parameters

新建 “DWORD值”值名为 “AutoShareWks” 数据值为“0”

通过修改注册表防止小规模DDOS攻击

HKEY_LOCAL_MACHINE\\SYSTEM\\CurrentControlSet\\Services\\Tcpip\\Parameters

新建 “DWORD值”值名为 “SynAttackProtect” 数据值为“1”

修改端口没列举出来 这个可以去搜索一下

然后卸载不安全的组件

主要是 用于提权的组件

这个只需要保存一个BAT文件放在启动里面即可

内容为 :

regsvr32/u C:\\WINDOWS\\System32\\wshom.ocx

del C:\\WINDOWS\\System32\\wshom.ocx

regsvr32/u C:\\WINDOWS\\system32\\shell32.dll

del C:\\WINDOWS\\system32\\shell32.dll

然后在网卡那里只开放自己所需要的端口

这样服务器基本安全已经设置好

然后安装好杀毒软件

推荐用MACFFE 或

NOD32

MACFFE的杀毒能力不强 但防御强 NOD32杀毒强

并设置好自动更新

然后我们在来看IIS和网站的权限

因为很多 喜欢用网站漏洞进入提权

那么IIS安全也很重要

首先 更改IIS来宾帐号的名字

其次 为他设置个复杂的密码

第三 在放程序的磁盘里 把目录建立两层

这样每个站的程序独立分开的

那么刚才我们设置了卸载权限 他就无法提到ADMINISTRATR权限了

这样即使一个站有漏洞 也不能影响到其他的站

然后我们安装好SQL以后在用户里面会出现个SQLDUBEG这个用户 把他删除

最后打开防火墙,注意开放自己所需要的端口 即可,如果你服务器不只放网站 那记得开放所需要的端口

篇2：服务器安全配置

服务器安全配置精华!

Windows 含有很多的安全功能和选项，如果你合理的配置它们，那么windows 2000将会是一个很安全的操作系统，

初级安全篇

1.物理安全

服务器应该安放在安装了监视器的隔离房间内，并且监视器要保留15天以上的摄像记录。另外，机箱,键盘，电脑桌抽屉要上锁，以确保旁人即使进入房间也无法使用电脑，钥匙要放在另外的安全的地方。

2.停掉Guest 帐号

在计算机管理的用户里面把guest帐号停用掉，任何时候都不允许guest帐号登陆系统。为了保险起见，最好给guest 加一个复杂的密码，你可以打开记事本，在里面输入一串包含特殊字符,数字，字母的长字符串，然后把它作为guest帐号的密码拷进去。

3．限制不必要的用户数量

去掉所有的duplicate user 帐户, 测试用帐户, 共享帐号，普通部门帐号等等。用户组策略设置相应权限，并且经常检查系统的帐户，删除已经不在使用的帐户。这些帐户很多时候都是 们入侵系统的突破口，系统的帐户越多， 们得到合法用户的权限可能性一般也就越大，

国内的nt/2000主机，如果系统帐户超过10个，一般都能找出一两个弱口令帐户。我曾经发现一台主机197个帐户中竟然有180个帐号都是弱口令帐户。

4．创建2个管理员用帐号

虽然这点看上去和上面这点有些矛盾，但事实上是服从上面的规则的。 创建一个一般权限帐号用来收信以及处理一些*常事物，另一个拥有Administrators 权限的帐户只在需要的时候使用。可以让管理员使用 RunAS 命令来执行一些需要特权才能作的一些工作，以方便管理。

5．把系统administrator帐号改名

大家都知道，windows 2000 的administrator帐号是不能被停用的，这意味着别人可以一遍又一边的尝试这个帐户的密码。把Administrator帐户改名可以有效的防止这一点。当然，请不要使用Admin之类的名字，改了等于没改，尽量把它伪装成普通用户，比如改成：guestone 。

6．创建一个陷阱帐号

什么是陷阱帐号? Look!创建一个名为 Administrator的本地帐户，把它的权限设置成最低，什么事也干不了的那种，并且加上一个超过10位的超级复杂密码。这样可以让那些 Scripts s忙上一段时间了，并且可以借此发现它们的入侵企图。或者在它的login scripts上面做点手脚。

篇3：从零开始配置服务器服务器教程

从零开始配置服务器

（一）硬件准备

一台HP ProLiant DL160 G5服务器（硬盘拓展到480G）

一台个人电脑（windows操作系统）

一个Lenovo 4G 闪存（fat32格式）

（二）制作引导U盘

网络上有许多制作Linux引导U盘的文章，但真正能用的少之又少，期间尝试多个办法，均以失败告终，下面将直接阐述最可行，也是最简单的方法。

下载U盘boot工具，共三个文件，已经打包，下载地址：www.filesavr.com/u-boot

解压syslinux-3.73.tar.gz文件，ctrl+r输入cmd打开命令提示符，然后使用cd命令进入syslinux-3.73目录下的win32文件夹

syslinux.exe -m -a x： x为U盘盘符

命令完成后就已经在U盘中建立了一个可引导文件，当然，这是隐藏的。

在u盘中建立此文件syslinux.cfg（用记事本或写字板编辑，注意，先在控制面板-文件夹选项中选择显示后缀名） ，并在里面加入

default vmlinuz

append initrd=initrd.gz

再将u-boot包中的vmlinuz，initrd.gz转移到U盘中。

最后从cdimage.debian.org/debian-cd/5.0.3/i386/iso-cd/下载debian-503-i386-CD-1.iso 镜像并转移到U盘里。

至此，U盘引导盘制作完成。

（三）安装debian

将U盘插入，启动服务器，bios默认从U盘启动，因此在这里我无需设置。

进入字符安装界面，根据提示操作，到检测磁盘的那一步拔掉U盘，待分区完成后再插上，回头按Erc重新选择挂载ISO镜像，安装基本系统，选择软件包（这里只选择桌面环境以及标准系统，装桌面环境是为了配置方便），安装grub，安装debian完成，拔掉U盘重启服务器。

在我重启完成后，经过一个蓝色选择debian模式的界面，直接提示找不到root错误-root （hd1，0）。

不用慌张，接着按Erc退回debian模式选择界面，按c，这是修复grub的界面，移到root （hd1，0）上，按e编辑root，改成

root （hd0，0）

回车，最后按b启动，启动正常。

进入系统，登陆，附件，终端

su 输入root密码后就可以行使root权限

vim /boot/grub/menu.lst

拉到最下面，找到前面没有“#”前缀的

root （hd0，1）

改为

root （hd0，0）

至此安装debian完成，

（四）配置源

安装好之后，发现apt-get install任何软件都失败，查看源配置文件，问题在于只有一个基础源，并没有任何软件源。直接google：debian 源。根据自己网络先随便选择一个，然后再终端输入

apt-get install apt-spy

如果源没有问题，安装完成后即可使用apt-spy。

cp /etc/apt/sources.list /etc/apt/sources.list.bak 备份源

apt-spy -d lenny -a Asia 搜索亚洲境内最快源

扫描生成/etc/apt/sources.list.d/apt-spy.list文件，这个其实就可以作为sources.list文件用了。

cp /etc/apt/sources.list.d/apt-spy.list /etc/apt/sources.list 覆盖掉原有的sources.list文件

（五）快速搭建环境

终端输入：

apt-get install lighttpd php5-cgi php5-mysql mysql-server php5-gd phpmyadmin

之后按照我这篇文章的方法配置lighttpd，地址：youling.wordpress.com.cn/debian-lighttpd-php-mysql.html

vsftpd按照这里的资料根据自己的需求配置，地址：wiki.ubuntu.org.cn/Vsftpd服务安装设置

如果需要外网访问phpmyadmin，输入如下命令建立软连接：

ln -s /usr/share/phpmyadmin/ /var/www/ root权限模式下才行

最后是ssh安装配置。

apt-get install openssh-server

配置SSH

vim /etc/ssh/sshd_config

这里有相关资料，按自己需求配置，地址：www.diybl.com/course/6_system/linux/Linuxjs/0903/173704.html

至此，服务器配置完成。

（六）测试工作

使用ftp软件上传一个探针到web根目录。

访问127.0.0.1查看最终结果。

zend或者其他php加速器可以自己安装，很简单，这里就不再累述。

提示：如果修改某一服务的配置文件，使用 /etc/init.d/服务名 resart即可完成重启，比如：

/etc/init.d/ssh resart

篇4：IIS服务器配置教程

IIS服务器完全配置 现在我们要使IIS实现ASP,CGI,PERL和PHP+MYSQL

所需软件(都要是For Windows的)：

ActivePerl、PHP、MYSQL

ActivePerl下载：

国内：www.downloadsky.com/down/ActivePerl-5.6.1.630-MSWin32-x86.zip (目前最新版本是ActivePerl V5.6.1.630)

PHP下载：

国内：www.downloadsky.com/down/php-4.0.6-Win32.zip (目前最新版本是PHP V4.0.6)

MYSQL下载:

国内: www.downloadsky.com/down/mysql-3.23.45-win.zip (目前最新版本是MYSQL V3.23.45)

---------------------------------------------------------------------------------------------

一.ASP支持：

不用说了吧，什么都不用做，本身就支持ASP运行，

二.CGI,PERL支持:

1.安装ActivePerl

运行下载的ActivePerl一步一步安装(注意:安装路径请选

择到根目录的/usr/下(默认是perl),这样对以后调试程序省很多事)

2.配置IIS

打开“Internet 信息服务”(在'管理工具'里),点开默认站点的属性,如图:

选择 “主目录” 选项卡，然后点 “配置(G)...”,弹出如图对话框：

然后 “添加(D)” 如下图：

推荐“c:/usr/bin/perl.exe” 记得一定要在后面加上“ %s %s ” ，不然没法执行cgi的，确定后，

用同样的方法 添加扩展，如图：

完成后如图：

现在你的IIS已经支持cgi,perl了！

三.PHP、MYSQL支持：

1.安装PHP和MYSQL

运行下载的PHP和MYSQL一步一步安装就行了（装到哪里都

行,一般现在网上流行的都是安装过的PHP,没有安装程序在:/php下）

2.PHP支持：

2.1 拷贝php目录下dlls文件夹里所有文件到c:/windows/syst

em32下

2.2配置IIS：和刚才配置cgi一样，添加.php 如下图：

完成后如下图：

最后，把如图：

这里的 “执行权限” 该成：“脚本和可执行文件” 然后确定ok!

现在你的IIS已经完全支持PHP+MYSQL了

注：MYSQL不许任何设置，直接安装即可

简单吧...... 过去的很多文章都写得太复杂，而且不必要的步骤太多！

篇5：Windows DNS服务器配置服务器教程

如果用户使用Windows 2000 Server作为计算机的操作系统，可以通过安装服务、协议与工具并正确地设置它们来把该计算机配置成诸如Web服务器、IIS服务器、FTP服务器、DNS 服务器、DHCP服务器和WINS服务器等各种服务器，以便为网络中的客户机提供某项服务，在Windows 2000 Server服务器提供的所有服务当中，最为重要和基本的三种服务是域名服务、将NetBIOS计算机名转换为对应IP地址的服务以及为进入网络的客户机动态地分配IP地址的服务。它们的主要作用在于将计算机能够识别的IP地址与现实中人们使用的诸如www.sina.com 或Jace（计算机名）类型的计算机地址和名称进行转换与解析。这三种服务分别是由DNS服务器、DHCP服务器和WINS服务器来完成的。基于这三种服务器在整个网络连接中的重要作用，本章介绍如何创建和配置DNS服务器、DHCP服务器和WINS服务器及其相关的知识，

在庞大的Internet网络中，每台计算机（无论是服务器还是客户机）都有一个自己的计算机名称。通过这个易识别的名称，网络用户之间可以很容易地进行互相访问以及客户机与存储有信息资源的服务器建立连接等网络操作。不过，网络中的计算机硬件之间真正建立连接并不是通过大家都熟悉的计算机名称，而是通过每台计算机各自独立的IP地址来完成的。因为，计算机硬件只能识别二进制的IP地址。因此， Internet中有很多域名服务器来完成将计算机名转换为对应IP地址的工作，以便实现网络中计算机的连接。可见DNS服务器在Internet中起着重要作用，本节我们便来对域名服务以及如何配置和管理DNS服务器进行介绍。

什么是域名服务

在计算机网络中，主机标识符分为三类：名字、地址及路径。而计算机在网络中的地址又分为IP地址和物理地址，但地址终究不易记忆和理解。为了向用户提供一种直观的主机标识符，TCP/IP协议提供了域名服务（DNS）

篇6：IIS配置SMTP服务器服务器教程

Windows 用户

安装设置服务端

Windows XP和2000本身就拥有构件SMTP服务器的功能，只是一般还没有安装，选择“控制面板→添加/删除程序→添加/删除Windows组件”，弹出“Windows组件向导”对话框，在其中双击“Internet信息服务(IIS)”项，就会打开详细选择项，选中“SMTP Service”，按“确定”，插入Windows XP安装盘进行安装(如图1)。

安装好SMTP服务器后，选择“控制面板→性能和维护→管理工具→Internet信息服务”打开Internet信息服务设置窗口,在窗口左侧点击本地计算机名，展开本地计算机目录，可以看到有两个分支“Wed站点”和“默认SMTP虚拟服务器”。在“默认SMTP虚拟服务器”上点击鼠标右键选择“属性”，打开“默认SMTP虚拟服务器属性”窗口。

“常规”选项卡主要设置IP地址，单击IP地址下拉项选择“127.0.0.1”，表示指向本地计算机IP地址，其他项使用默认即可。如果你是局域网接入，拥有固定IP地址，那么IP地址就应该选择相应的地址(如图2)。

“访问”选项卡中设置访问权限。单击“身份验证”，选择“匿名访问”，表示任何用户都可以发送，其他两项不用选择；单击“连接控制”中的“连接”和“中段限制”中的“中断”，选中“仅以下列表除外”，表示可以许接入所有用户的访问，

“邮件”选项卡中设置邮件传输条件及限制，“限制邮件大小为”等四个选项可以使用默认值，无须更改；

“将未传递报告的副本发送到”可将发送不成功的邮件返回发件人，并且写明不成功的原因；“死信目录”设置没有发送成功的邮件被存放的位置。

“传输”选项中设置邮件传递时间，这里不用修改，使用默认值；“LDAP路由”选项用来指定服务器使用的目录服务器标识和属性，这里也不用启动它。

“安全”选项中设置使用发送服务器的有权用户，默认用户是“Administrators”，你可以单击“添加”添加使用用户。

一切设置好后，你就拥护了自己的邮件发送服务器了！下面我们来看看在Outlook Express和Foxmail中如何设置使用自己的SMTP来发信。

设置客户端软件

打开Outlook Express,选择“工具→账号→邮件”，选中帐号点“属性”，在“服务器”标签下的“发送邮件(SMTP)”中输入“127.0.0.1”，即本机地址(如图3)，“我的服务器需要身份验证”不选择。

在Foxmail中选择需要设置本机发信的帐号，然后选择“帐号→属性→邮件服务器”，在“发送邮件服务器”中输入“127.0.0.1”(如图4)，“SMTP邮件服务器需要身份验证”也不要选择上。

撰写发送邮件和我们平时操作一样，没有什么区别。写好后点发送，邮件会在瞬间发送完毕。

篇7：路由器配置攻略服务器教程

对于中小企业的网络管理，用户的管理是一个很常见的问题，例如：有限的IP如何分配？如何管制不同员工上网权限？如何阻挡访客使用企业网络？如何分派较多带宽给高管或是老总？这些问题，都在在影响企业网络的安全性，因此网管要作到网络的安全，就必须从基本把用户管理的工作作好。这些问题都可经由路由器的用户管理功能来达成。以下我们就中小企业常遇到的用户管理问题，以Qno侠诺路由器为例作一个全面性的介绍。

内部局域网上网用户的管理，可分为企业局域网内地址合理分配、内部新增上网用户管制、及内部上网用户有效管制三个方面。如果没有一套合理有效的管理机制，会在后面的网络管理及安全方面带来很多负面影响及经济损失。

总括来说，常见的用户管理问题及对应路由器功能如下：

用户管理常见问题 对应产品功能

地址合理分配 如何分配IP地址给用户？ 动态/静态IP地址分配、One-to-one NAT

公网IP及虚拟IP如何共存？

新增用户管制 如何阻挡非公司计算机上网？ IP/MAC绑定功能

上网用户管制 如何管理不同用户？IP群组管理、QoS带宽管理

如何保留带宽给重要人员？

以上这些内部网络的管理都可以通过Qno侠诺路由器的相关功能来实现，达到网络安全的目的。Qno侠诺路由器提供动态IP地址分配和静态IP地址分配的功能，满足内部上网用户IP地址的分配的不同需要。路由器还提供了IP组管理功能，解决不同部门需要不同上网权限的群组设置，方便统一管理。配合IP/MAC绑定功能避免内部网络滥用IP地址造成网络管理的困难，同时可以通过QoS的设定给内网用户上网一定的带宽管理，保证企业领导希望联网速度能够保持畅通不塞车，确保公司重要业务信息不致延迟、重要应用服务联机顺畅等要求。

IP地址分配

企业首先考虑的就是IP地址的分配管理，动态IP地址分配使用DHCP服务器，优点是客户端不需进行配置，只需配置服务器，配置简单。静态IP则必须在客户端进行IP配置，相对较严谨，管制较完全。

Qno侠诺路由器提供动态IP地址分配和静态IP地址分配的功能，满足内部上网用户IP地址的分配的不同需要。Qno路由器提供动态IP地址分配机智（DHCP功能），支持C类IP地址，可设置其IP地址分配的范围以及地址租约时间。进入“DHCP功能”的“DHCP配置”。

图一：DHCP配置显示发放范围在192.168.1.100~192.168.1.49之间共50台电脑，地址租约时间为1440分钟。

通过“DHCP服务器状态显示”了解到内部网络IP地址分配情况，我们可以了解到DHCP服务器的相关情况以及内部网络用户的“主机名称”、“IP地址”、网卡“MAC地址”，“目前租约时间”。

图二：DHCP服务器状态显示。同时路由器还支持静态的IP分配功能，只要保证其IP地址不和DHCP范围冲突就好。

静态的IP分配，只要不激活DHCP功能即可。但是客户端配置的IP地址和路由器配置的范围必须相符。也可将DHCP功能与静态IP配合使用，即在整个路由器配置的IP范围中，部份使用DHCP发放，部份使用静态IP。例如：厂内使用的计算机不常移动，可使用静态IP；业务人员计算机时常移动，则采用动态IP。

适当的IP地址分配，是后续安全管理的基础，适当地在安全性及便利性间取得平衡，这是必须达成的。

One-to-one NAT

有些企业具备几个公网IP，用来作特别的用途，例如总部服务器只能和固定公网IP联系，以加强安全性。在这种情况，经常发生公网IP不够办公室所有的计算机使用，这时就可以进行一对一NAT的配置，把几个公网IP对应到内部计算机，这时就可以达到公网IP与虚拟IP共同在局域网共存的目的了，

图三：一对一NAT功能可允许公网IP和虚拟IP共同存在局域网，可适用于注重信息安全的通讯应用。

适当地利用这个功能，分隔不同的IP，可避免内部网络的数据外流。

IP/MAC绑定功能

DHCP服务器自动分配内部网络用户的IP地址，用户可以不用手动设置IP地址。但是DHCP是不容易管理，内部网络随意加入一个用户通过自动获得IP地址都能在DHCP范围里获得一个合法的IP地址。有些攻击者，会通过无线网络进入企业局域网。或是在静态的IP分配情况下，有些员工会自行修改成高管或领导的IP地址，以逃避管制。这些都是可以通过Qno侠诺路由器产品提供的IP/MAC绑定功能来反应，并达到安全管理的功能。

企业网管进行IP/MAC绑定，必须把企业内网计算机的MAC地址都键入到路由器，并与IP地址建立对照表。如果路由器发现来向DHCP服务器索取IP的计算机的MAC不在表列中，那么就不会予以响应。因此网管可把企业内的计算机MAC都进行绑定，那么外部的计算机就无法进入企业网络，也可避免内部员工自行修改IP以逃避管制的措施。

IP绑定的功能很简单，Qno侠诺路由器“DHCP功能”的“DHCP配置”页面的“IP 与 MAC 绑定”，点击“显示新加入的IP地址”将内部网络的IP地址/MAC对应加入到IP 与 MAC 绑定列表中，同时也可以通过手动的模式加入。

图四：IP 与 MAC 绑定画面。

您可以“√”选“封锁在对应列表中IP地址，错误的MAC地址”防止内部网络用户修改IP地址逃避网络管理，如“√”选“封锁不在对应列表中的MAC地址”，可以阻止内部网络中并没经过网管人员同意而加入的上网用户。

IP/MAC绑定功能为我们解决了其内网用户逃避管理以及管理可能加入的新上网用户等问题，也是安全管理一个必要的手段。

IP群组管理

企业网管大多希望给不同部门的人不同的权限，例如业务单位的需要较多对外联络，相对的制造单位或事业单位对外联络的需要较少。但是针对内部上网用户IP地址上网权限配置，工作量很大，输入过程中也容易出现错误，甚至有时出现遗漏的事情，这种情况下Qno侠诺路由器的IP群组管理功能，可将多个用户，例如一个部门所有IP地址，组成一个群组解决这个问题。

比如一个企业的A部门分得的IP地址是192.168.1.100~192.168.1.110，B部门分到的IP地址是192.168.1.111~192.168.1.120，我们可以将这些连续的IP地址群组到一起，方便做统一的设置。减少网管人员的工作量，同时也避免繁多的IP地址输入容易出错。同时内部网络需要同时大量的IP地址需要做同样管理的时候就将这些连续的IP群组到一个组做相同设置。

Qno侠诺路由器内“DHCP功能”的“DHCP配置”页面的“IP GPOUP”，如图五对应输入相关信息确定后就可完成IP群组的设置。

图五：IP群组管理设置画面

QoS带宽管理功能

有些企业希望针对特定用户进行配置，例如内部网络特殊用户（比如经理，董事长等）给予大的带宽、内部网络用户选择特定WAN访问外部网络、特定线路留给特定的用户、等等的。通过QoS带宽管理功能能达到以上的功能。

Qno侠诺路由器可以允许选择设置内部网络的某一单个IP地址、一连串IP地址，或者某一IP群组，通过有效的管理上传与下载的速度来达到对带宽的管理功能，保证内网上网用户能够合理利用带宽，同时还可以确保特殊用户上网不受限制，保证大的带宽享用。例如，可以为重要的高管设定较大的最小带宽，或是保留特定的广域网口给特定IP群组，

图六：带宽管理功能设置页面

小结

以上针对中小企业内部局域网用户的管理，通过Qno侠诺安全路由器的策略管理功能，针对常遇到的一些问题，作了初步的介绍。相信对于企业网管在进行日常管理，有相当的帮助。用户管理是网络安全的最基本的工作，网管如能在一开始就把这方面的工作作到位，相信可以减少后续很多的问题。

从零开始配置服务器服务器教程

从零开始配置服务器服务器教程（通用7篇）由网友“满眼星辰”投稿提供，下面是小编收集整理的从零开始配置服务器服务器教程，供大家参考借鉴，希望可以帮助到有需要的朋友。篇1：从零开......

DELL服务器RAID配置教程

在启动电脑的时候按CTRL+R 进入 RAID 设置见面如下图 名称解释：Disk Group：磁盘组，这里相当于是阵列，例如配置了一个RAID5，就是一个磁盘组 VD(Virtual Disk)： 虚拟磁盘，虚拟磁盘可......

server2003 Web服务器配置教程

《禅里禅外悟人生》读后感本书是弘一法师（李叔同，学名文涛，字叔同。祖籍浙江省平湖县，出生于天津一官宦富商之家。1918年，李叔同在杭州虎跑寺出家，法号弘一，法名演音，世称弘一大师。......

IIS配置SMTP服务器服务器教程

IIS配置SMTP服务器服务器教程（共10篇）由网友“索向披靡”投稿提供，下面是小编为大家汇总后的IIS配置SMTP服务器服务器教程，仅供参考，欢迎大家阅读，一起分享。篇1：IIS配置SMTP服务器......

Windows 配置POP3服务服务器教程

Windows 配置POP3服务服务器教程（共8篇）由网友“江湖管理园”投稿提供，以下是小编整理过的Windows 配置POP3服务服务器教程，欢迎阅读分享，希望对您有所帮助。篇1：Windows 配置POP......