侠诺中小企业安全路由器用户管理攻略

静态的IP分配，只要不激活DHCP功能即可。但是客户端配置的IP地址和路由器配置的范围必须相符。也可将DHCP功能与静态IP配合使用，即在整个路由器配置的IP范围中，部份使用DHCP发放，部份使用静态IP。例如：厂内使用的计算机不常移动，可使用静态IP；业务人员计算机时常移动，则采用动态IP。
适当的IP地址分配，是后续安全管理的基础，适当地在安全性及便利性间取得平衡，这是必须达成的。

One-to-one NAT
有些企业具备几个公网IP，用来作特别的用途，例如总部服务器只能和固定公网IP联系，以加强安全性。在这种情况，经常发生公网IP不够办公室所有的计算机使用，这时就可以进行一对一NAT的配置，把几个公网IP对应到内部计算机，这时就可以达到公网IP与虚拟IP共同在局域网共存的目的了。

图三：一对一NAT功能可允许公网IP和虚拟IP共同存在局域网，可适用于注重信息安全的通讯应用。

适当地利用这个功能，分隔不同的IP，可避免内部网络的数据外流。

IP/MAC绑定功能
DHCP服务器自动分配内部网络用户的IP地址，用户可以不用手动设置IP地址。但是DHCP是不容易管理，内部网络随意加入一个用户通过自动获得IP地址都能在DHCP范围里获得一个合法的IP地址。有些攻击者，会通过无线网络进入企业局域网。或是在静态的IP分配情况下，有些员工会自行修改成高管或领导的IP地址，以逃避管制。这些都是可以通过Qno侠诺路由器产品提供的IP/MAC绑定功能来反应，并达到安全管理的功能。

企业网管进行IP/MAC绑定，必须把企业内网计算机的MAC地址都键入到路由器，并与IP地址建立对照表。如果路由器发现来向DHCP服务器索取IP的计算机的MAC不在表列中，那么就不会予以响应。因此网管可把企业内的计算机MAC都进行绑定，那么外部的计算机就无法进入企业网络，也可避免内部员工自行修改IP以逃避管制的措施。

IP绑定的功能很简单，Qno侠诺路由器“DHCP功能”的“DHCP配置”页面的“IP 与 MAC 绑定”，点击“显示新加入的IP地址”将内部网络的IP地址/MAC对应加入到IP 与 MAC 绑定列表中，同时也可以通过手动的模式加入。

图四：IP 与 MAC 绑定画面。您可以“√”选“封锁在对应列表中IP地址，错误的MAC地址”防止内部网络用户修改IP地址逃避网络管理，如“√”选“封锁不在对应列表中的MAC地址”，可以阻止内部网络中并没经过网管人员同意而加入的上网用户。