对于整天与网络打交道的网络管理员来说，遇到网络故障几乎是一件不可避免的事情！而网络故障现象一般都局限于无法上网、频繁掉线或者是访问缓慢这几种，但是引起网络故障的原因可谓是花样繁多，既有人为操作因素引起的，也有网络设备自身状态引起的，还有可能是外界干扰引起的；但是在实际解决网络故障的过程中，我们有时会发现在排除了上面列出的各种可能因素后，网络故障仍然无法消除，这是怎么回事呢？


事实上，上面列出的几项因素只是对网络故障产生直接影响，也有一些不容易引起人注意的细小因素会对网络故障产生间接的影响，例如电源的接地、空气中的灰尘以及网络应用软件甚至操作系统的稳定性等细节因素，也会造成网络故障，对于由这些细节因素引起的故障现象排除起来往往比较困难，毕竟这些细节因素很容易被网络管理人员所忽视。这不，本文下面的一则网络故障竟然是由路由器中的软件BUG引起的，相信各位看了下面的故障排除过程之后，一定会有新的启发！

故障现象

单位局域网是通过租用本地电信部门的2M光纤通道直接访问Internet的，局域网中的所有工作站都连接到一个48口的交换机中，交换机又与一只TP-LINK型号的宽带路由器直接相连，笔者在该路由器中启用了防火墙功能、DHCP服务器功能以及静态地址组功能等。局域网中还有一台保存有重要数据信息的服务器，为了保护服务器的安全，单位还特地在服务器中安装了Norton防火墙，该防火墙被笔者设置成了服务器工作模式，平时局域网中的所有工作站都能正常访问到服务器中的重要信息。


可是最近这几天，笔者的一位同事打电话“求援”说，他使用的工作站无法访问服务器了。接到同事的电话后，笔者下意识地在自己的工作站中尝试访问了一下服务器，以确认是否是服务器遇到了故障，但是尝试访问的结果告诉笔者，服务器自身工作状态很正常，因为笔者的工作站可以顺畅地访问到服务器中的内容。后来，笔者来到服务器现场，想从服务器日志文件中寻找一些端倪，可是当笔者打开服务器计算机的显示屏幕时，竟然看到系统屏幕上出现了IP地址冲突的错误提示，看到这个提示，笔者几乎断定同事的工作站肯定使用了一个与服务器相冲突的IP地址；于是笔者迅速来到故障工作站旁，打开该工作站的TCP/IP属性设置窗口，并为该工作站重新分配了另外一个IP地址，原以为更换IP地址操作能够解决该工作站无法访问服务器的故障，可是当笔者重新进行访问连接时，发现服务器仍然无法访问。难道同事的工作站与服务器之间的网络连接有问题？笔者不放心，于是打开该工作站的网上邻居窗口，尝试通过该窗口访问一下局域网中的其他工作站，结果发现故障工作站能够顺利地访问局域网中的其他工作站，偏偏就不能访问服务器。


故障分析

为了测试故障工作站与服务器之间是否存在线路故障，笔者先在故障工作站中执行了“Ping”命令，结果看到服务器无法被正常Ping到，后来笔者又到服务器系统中执行了一次“Ping”命令，这次却发现服务器能够正常Ping通故障工作站了，很明显服务器与该故障工作站之间的线路连接是正常的。会不会是故障工作站中的网卡设备工作不稳定呢？想到这里，笔者立即打开故障工作站中的设备管理器窗口，从中找到目标网卡设备，并用鼠标右键单击该设备的图标，从弹出的快捷菜单中执行“停用”命令（如图1所示），之后又重新执行该快捷菜单中的“启用”命令，在网卡设备启动过程中，笔者突然看到该工作站的IP地址是动态获取的，这时笔者想到宽带路由器中已经启用了DHCP服务功能。难道是DHCP服务器运行不正常，导致故障工作站无法获取稳定的IP地址？想到做到，笔者又登录进宽带路由器的后台管理界面，将其中的DHCP服务器暂时停用掉，然后保存好路由器的后台参数并重新启动了一下该路由器，最后又为故障工作站分配了一个静态的IP地址，但是这样一系列的操作还是没有换来任何效果，同事的工作站依然还是不能访问局域网服务器。到了这里，笔者索性进入到宽带路由器的后台管理界面，将其中的静态地址组以及MAC地址记录全部删除掉，再重新启动一下宽带路由器，但是最后得到的结果还是无法访问服务器。

图：设备管理器

图1在万般无奈之下，笔者登录进交换机后台管理界面，并在该界面中执行“Ping”命令，来测试一下服务器系统与交换机之间是否正常，结果发现也不能够Ping通；后来，笔者尝试在其他工作站中Ping服务器，结果发现局域网中所有工作站都无法Ping通服务器，只不过其他工作站能够访问到服务器中的内容。


故障解决


经过上面的测试操作，笔者认为局域网中的所有工作站都无法Ping通服务器，那很有可能是服务器中的防火墙禁止了Ping测试功能，于是笔者迅速以系统管理员身份登录进服务器系统，然后将防火墙的工作模式从服务器模式修改成普通模式，并将防火墙中的一些过滤规则重新调整了一下，之后重新启动了一下服务器系统。待服务器系统重新启动成功后，笔者又尝试在交换机的后台管理界面中，执行了“Ping”命令，来测试此次是否能够正常ping通服务器，结果发现这次服务器能够正常Ping通，而且笔者尝试从局域网中的其他工作站Ping服务器时，也发现服务器现在能正常Ping通了。最后，笔者又重新启用了路由器中的DHCP服务功能，然后来到故障工作站旁，进入到工作站的TCP/IP属性设置窗口，打开如图2所示的IP地址设置页面，选中其中的“自动获得IP地址”选项，再单击“确定”按钮，这样一来该工作站仍然向路由器中的DHCP服务器申请IP地址；结束上面的设置操作后，笔者再一次尝试了服务器访问操作，让人感到欣慰的是这次服务器终于能够被访问到了，至此服务器无法访问的故障就被成功地解决了！

图二：故障总结

虽然故障已经被解决了，但让笔者感到疑惑不解的是，为什么故障工作站无法访问服务器，而局域网中的其他工作站能够访问到服务器呢？而在对服务器的防火墙参数进行适当修改之后，故障工作站为什么又能正常访问服务器了呢？其实，故障工作站之所以无法访问服务器，是因为故障工作站所获得的IP地址恰好与服务器系统的IP地址发生了冲突，这也正是服务器系统屏幕中弹出地址冲突提示的原因所在；而故障工作站由于是从DHCP服务器中获得IP地址的，因此地址冲突现象也只能说明宽带路由器中的软件存在BUG，导致了DHCP服务器居然为工作站分配了一个不在其地址池范围内的IP地址。故障工作站的IP地址一旦与服务器的IP地址发生冲突后，服务器中的防火墙就会自动禁止故障工作站继续访问服务器，所以当笔者将服务器防火墙的工作模式修改成普通模式，并重新启动服务器系统后，服务器中的防火墙就会自动取消故障工作站的访问操作了，那样一来在修改完防火墙参数后，故障工作站自然也就能正常访问到服务器中的内容了。


总结上面的故障排除过程，笔者发现要是起初就按照服务器屏幕中的地址冲突提示进行针对性排查，并结合具体的网络工作环境，说不定就能在故障排除过程中少走许多弯路了！

就像我们每个人都有一个身份证号码一样，网络里的每台电脑(更确切地说，是每一个设备的网络接口)都有一个IP地址用于标示自己。我们可能都知道这些地址由四个字节组成，用点分十进制表示以及它们的A，B，C分类等，然而，在总数大约为四十多亿个可用IP地址里，你知道下面一些常见的有特殊意义地址吗？我们一起来看看吧：
　　一、0.0.0.0
　　严格说来，0.0.0.0已经不是一个真正意义上的IP地址了。它表示的是这样一个集合：所有不清楚的主机和目的网络。这里的“不清楚”是指在本机的路由表里没有特定条目指明如何到达。对本机来说，它就是一个“收容所”，所有不认识的“三无”人员，一律送进去。如果你在网络设置中设置了缺省网关，那么 Windows系统会自动产生一个目的地址为0.0.0.0的缺省路由。

　　二、255.255.255.255
　　限制广播地址。对本机来说，这个地址指本网段内(同一广播域)的所有主机。如果翻译成人类的语言，应该是这样：“这个房间里的所有人都注意了！”这个地址不能被路由器转发。

　　三、127.0.0.1
　　本机地址，主要用于测试。用汉语表示，就是“我自己”。在Windows系统中，这个地址有一个别名“Localhost”。寻址这样一个地址，是不能把它发到网络接口的。除非出错，否则在传输介质上永远不应该出现目的地址为“127.0.0.1”的数据包。

　　四、224.0.0.1
　　组播地址，注意它和广播的区别。从224.0.0.0到239.255.255.255都是这样的地址。224.0.0.1特指所有主机， 224.0.0.2特指所有路由器。这样的地址多用于一些特定的程序以及多媒体程序。如果你的主机开启了IRDP(Internet路由发现协议，使用组播功能)功能，那么你的主机路由表中应该有这样一条路由。

　　五、169.254.x.x
　　如果你的主机使用了DHCP功能自动获得一个IP地址，那么当你的DHCP服务器发生故障，或响应时间太长而超出了一个系统规定的时间，Wingdows系统会为你分配这样一个地址。如果你发现你的主机IP地址是一个诸如此类的地址，很不幸，十有八九是你的网络不能正常运行了。

　　六、10.x.x.x、172.16。x。x～172.31。x。x、192.168。x。x
　　私有地址，这些地址被大量用于企业内部网络中。一些宽带路由器，也往往使用192.168.1.1作为缺省地址。私有网络由于不与外部互连，因而可能使用随意的IP地址。保留这样的地址供其使用是为了避免以后接入公网时引起地址混乱。使用私有地址的私有网络在接入Internet时，要使用地址翻译 (NAT)，将私有地址翻译成公用合法地址。在Internet上，这类地址是不能出现的。
　　对一台网络上的主机来说，它可以正常接收的合法目的网络地址有三种：本机的IP地址、广播地址以及组播地址。
1）私有地址
　私有地址可以自己组网时用，但不能在Internet网上用，Internet网没有这些地址的路由，有这些地址的计算机要上网必须转换成为合法的IP地址。Internet管理委员会规定如下地址段为私有地址：
　　10.0.0.0～10.255.255.255
　　172.16.0.0～172.31.255.255
　　192.168.0.0～192.168.255.255
2）回送地址
　　A类网络地址127是一个保留地址，用于网络软件测试以及本地机进程间通信，叫做回送地址（loopback address）。无论什么程序，一旦使用回送地址发送数据，协议软件立即返回之，不进行任何网络传输。含网络号127的分组不能出现在任何网络上。
应用举例：
　　●Ping 127.0.0.1,如果反馈信息失败,说明IP协议栈有错,必须重新安装TCP/IP协议。如果成功,ping本机IP地址,如果反馈信息失败,说明网卡不能和IP协议栈进行通信。
　　●可以用127.0.0.1这个地址访问本机的一些服务（如Sql Server等）。
3）广播地址
　　TCP/IP规定，主机号全为"1"的网络地址用于广播之用，叫做广播地址。所谓广播，指同时向同一子网所有主机发送报文。
4）网络地址
　　TCP/IP协议规定，各位全为"0"的网络号被解释成"本"网络。
由上可以看出：
　　（1）含网络号127的分组不能出现在任何网络上；
　　（2）主机和网关不能为该地址广播任何寻径信息。
由以上规定可以看出，主机号全"0"全"1"的地址在TCP/IP协议中有特殊含义，一般不能用作一台主机的有效地址。

计算机病毒在网络中泛滥已久，而其在局域网中也能快速繁殖，导致局域网计算机的相互感染，下面将为大家介绍有关局域网病毒的入侵原理及防范方法。

一、局域网病毒入侵原理及现象
一般来说，计算机网络的基本构成包括网络服务器和网络节点站。首先计算机病毒一般首先通过各种途径进入到有盘工作站、网络，然后进行传播破坏被感染的计算机，目前网络中流行的病毒具备下列特点：

（1）感染速度快：在单机环境下，病毒只能通过介质从一台计算机带到另一台，而在网络中则可以通过网络通讯机制进行迅速扩散。根据测定，在网络正常工作情况下，只要有一台工作站有病毒，就可在几十分钟内将网上的数百台计算机全部感染。

（2）扩散面广：由于病毒在网络中扩散非常快，扩散范围很大，不但能迅速传染局域网内所有计算机，还能通过远程工作站将病毒在一瞬间传播到千里之外。

（3）传播的形式复杂多样：计算机病毒在网络上一般是通过"工作站"到"服务器"到"工作站"的途径进行传播的，但现在病毒技术进步了不少，传播的形式复杂多样。

（4）难于彻底清除：单机上的计算机病毒有时可以通过带毒文件来解决。低级格式化硬盘等措施能将病毒彻底清除。而网络中只要有一台工作站未能清除干净，就可使整个网络重新被病毒感染，甚至刚刚完成杀毒工作的一台工作站，就有可能被网上另一台带毒工作站所感染。因此，仅对工作站进行杀毒，并不能解决病毒对网络的危害。

（5）破坏性大：网络病毒将直接影响网络的工作，轻则降低速度，影响工作效率，重则使网络崩溃，破坏服务器信息，使多年工作毁于一旦。

（6）可激发性：网络病毒激发的条件多样化，可以是内部时钟、系统的日期和用户名，也可以是网络的一次通信等。一个病毒程序可以按照病毒设计者的要求，在某个工作站上激发并发出攻击。

（7）潜在性：网络一旦感染了病毒，即使病毒已被清除，其潜在的危险性也是巨大的。根据统计，病毒在网络上被清除后，85％的网络在30天内会被再次感染。例如尼姆达病毒，会搜索本地网络的文件共享，无论是文件服务器还是终端客户机，一旦找到，便安装一个隐藏文件，名为Riched20.DLL到每一个包含"DOC"和"eml"文件的目录中，当用户通过Word、写字板、OutLook打开"DOC"和"eml"文档时，这些应用程序将执行Riched20.DLL文件，从而使机器被感染，同时该病毒还可以感染远程服务器被启动的文件。带有尼姆达病毒的电子邮件，不需打开附件，只要阅读或预览了带病毒的邮件，就会继续发送带毒邮件给通讯簿里的朋友。

二、局域网病毒防范方法
以"尼姆达"病毒为例，个人用户感染该病毒后，使用单机版杀毒软件即可清除；然而企业的网络中，一台机器一旦感染"尼姆达"，病毒便会自动复制、发送并采用各种手段不停交叉感染局域网内的其他用户。计算机病毒形式及传播途径日趋多样化，因此，大型企业网络系统的防病毒工作已不再像单台计算机病毒的检测及清除那样简单，而需要建立多层次的、立体的病毒防护体系，而且要具备完善的管理系统来设置和维护对病毒的防护策略。

（1）增加安全意识：杜绝病毒，主观能动性起到很重要的作用。病毒的蔓延，经常是由于企业内部员工对病毒的传播方式不够了解，病毒传播的渠道有很多种，可通过网络、物理介质等。查杀病毒，首先要知道病毒到底是什么，它的危害是怎么样的，知道了病毒危害性，提高了安全意识，杜绝毒瘤的战役就已经成功了一半。平时，企业要从加强安全意识着手，对日常工作中隐藏的病毒危害增加警觉性，如安装一种大众认可的网络版杀毒软件，定时更新病毒定义，对来历不明的文件运行前进行查杀，每周查杀一次病毒，减少共享文件夹的数量，文件共享的时候尽量控制权限和增加密码等，都可以很好地防止病毒在网络中的传播。

（2）小心邮件：随着网络的普及，电子信箱成了人们工作中不可缺少的一种媒介。它方便快捷在提高了人们的工作效率的同时，也无意之中成为了病毒的帮凶。有数据显示，如今有超过90％的病毒通过邮件进行传播。尽管这些病毒的传播原理很简单，但这块决非仅仅是技术问题，还应该教育用户和企业，让它们采取适当的措施。例如，如果所有的Windows用户都关闭了VB脚本功能，像库尔尼科娃这样的病毒就不可能传播。只要用户随时小心警惕，不要打开值得怀疑的邮件，就可把病毒拒绝在外。

（3）挑选网络版杀毒软件：选择一个功力高深的网络版病毒"杀手"就至关重要了。一般而言，查杀是否彻底，界面是否友好、方便，能否实现远程控制、集中管理是决定一个网络杀毒软件的三大要素。

把一个朋友编写的防护网页木马的VBS发了出来，他做的这个脚本可以自定义路径以及类别以及更完美的解决了某些游戏更新与执行的问题，
具体的功能如下：

'功能:禁止在临时目录%temp%\*.*、%ietemp%\Content.IE5\*.*及其它指定路径中运行指定的后缀名
'如果与某个游戏不兼容时，也就是某个游戏会自动生成执行文件到被禁的目录，请把路径加到白名单中
'程序本身已兼容梦幻西游、大话西游更新，并自动取系统的临时目录和IE临时目录加入黑名单列表。
' - .net 编写

以下为VBS脚本：


'功能:禁止在临时目录%temp%\*.*、%ietemp%\Content.IE5\*.*及其它指定路径中运行指定的后缀名
'如果与某个游戏不兼容时，也就是某个游戏会自动生成执行文件到被禁的目录，请把路径加到白名单中
'程序本身已兼容梦幻西游、大话西游更新，并自动取系统的临时目录和IE临时目录加入黑名单列表。
' - 浩月.net 编写

On Error Resume Next
setupgpedit()

Function setupgpedit() '利用组策略的软件安全防止网站木马和恶意程序
On Error Resume Next
Dim WshShell, IETempPath, hjmlist, keypath, pathlist,num8
'------------------------------------------------------------------------↓开放运行的程序路径(白名单)
'------------------------------------------------------------------------↓支持多路径,以分号隔开
filepath="%temp%\gpatch.exe;"
'------------------------------------------------------------------------↓路径列表(黑名单路径)
'------------------------------------------------------------------------↓支持多路径,以分号隔开

'------------------------------------------------------------------------↓支持多路径,以分号隔开
pathlist = "C:\Test\;"
'------------------------------------------------------------------------↓要禁止的后缀名列表(黑名单后缀)
'------------------------------------------------------------------------↓支持多路径,以分号隔开
hjmlist = "exe;com;bat;cmd;vbs;vbe;"
'------------------------------------------------------------------------↓禁止运行默认路径
keypath="HKLM\SOFTWARE\Policies\Microsoft\Windows\Safer\CodeIdentifiers\0\Paths\"
'------------------------------------------------------------------------↓开放运行默认路径
keyfile="HKLM\SOFTWARE\Policies\Microsoft\Windows\Safer\CodeIdentifiers\262144\Paths\"
'------------------------------------------------------------------------↓分割后缀后列表
namelist=Split(hjmlist,";")
Set WshShell = WScript.CreateObject("WScript.Shell")
'------------------------------------------------------------------------↓取IE缓存路径并加入路径列表
pathlist=WshShell.RegRead("HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\Shell Folders\Cache") & "\Content.IE5\;"&pathlist
pathlist=WshShell.RegRead("HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\Shell Folders\Cache") & "\Content.IE5\*\;"&pathlist
'------------------------------------------------------------------------↓取临时目录路径并加入路径列表
pathlist=WshShell.RegRead("HKEY_CURRENT_USER\Environment\Temp")&"\;"&pathlist
pathlist=WshShell.RegRead("HKEY_CURRENT_USER\Environment\Temp")&"\*\;"&pathlist
'------------------------------------------------------------------------↓分割路径列表
pathlists=Split(pathlist,";")
'------------------------------------------------------------------------↓分割开放运行的列表
filepaths=Split(filepath,";")

'------------------------------------------------------------------------↓循环路径列表
WshShell.RegDelete keypath

'------------------------------------------------------------------------↓开始写开放策略
For w = 1 to int(UBound(filepaths)) step 1
'------------------------------------------------------------------------↓置随机种子
Randomize
'------------------------------------------------------------------------↓取6位随机数并转成16进制
num6=Str2Hex(Int((899999 * Rnd) + 100000))
'------------------------------------------------------------------------↓写注册表项
WshShell.RegWrite keyfile & "{8156dd45-e093-4a3e-9755-" & num6 & "}\",,"REG_SZ"
WshShell.RegWrite keyfile & "{8156dd45-e093-4a3e-9755-" & num6 & "}\LastModified",0,"REG_BINARY"
WshShell.RegWrite keyfile & "{8156dd45-e093-4a3e-9755-" & num6 & "}\Description","开放运行文件"&filepaths(w-1),"REG_SZ"
WshShell.RegWrite keyfile & "{8156dd45-e093-4a3e-9755-" & num6 & "}\SaferFlags",0,"REG_DWORD"
WshShell.RegWrite keyfile & "{8156dd45-e093-4a3e-9755-" & num6 & "}\ItemData",filepaths(w-1),"REG_EXPAND_SZ"
Next
'------------------------------------------------------------------------↓开放策略完毕

'------------------------------------------------------------------------↓开始写禁止策略
For o = 1 to int(UBound(pathlists)) step 1
'------------------------------------------------------------------------↓循环后缀名列表
For p = 1 to int(UBound(namelist)) step 1
'------------------------------------------------------------------------↓置随机种子
Randomize
'------------------------------------------------------------------------↓取6位随机数并转成16进制
num6=Str2Hex(Int((899999 * Rnd) + 100000))
'------------------------------------------------------------------------↓写注册表项
WshShell.RegWrite keypath & "{8156dd45-e093-4a3e-9755-" & num6 & "}\",,"REG_SZ"
WshShell.RegWrite keypath & "{8156dd45-e093-4a3e-9755-" & num6 & "}\LastModified",0,"REG_BINARY"
WshShell.RegWrite keypath & "{8156dd45-e093-4a3e-9755-" & num6 & "}\Description","禁止运行本路径中的"&namelist(p-1)&"文件","REG_SZ"
WshShell.RegWrite keypath & "{8156dd45-e093-4a3e-9755-" & num6 & "}\SaferFlags",0,"REG_DWORD"
WshShell.RegWrite keypath & "{8156dd45-e093-4a3e-9755-" & num6 & "}\ItemData",pathlists(o-1)&"*."&namelist(p-1),"REG_EXPAND_SZ"
Next
Next
'------------------------------------------------------------------------↓结束指定进程
exitprocess("explorer.exe")
'------------------------------------------------------------------------↓更新组策略
WshShell.Run ("gpupdate /force"),0
'------------------------------------------------------------------------↓刷新桌面
WshShell.Run ("RunDll32.exe USER32.DLL,UpdatePerUserSystemParameters")
End Function

Function exitprocess(exename)'结束指定进程,可以是程序名或程序路径
strComputer="."
Set objWMIService = GetObject ("winmgmts:\\" & strComputer & "\root\cimv2")
Set colItems = objWMIService.ExecQuery ("SELECT * FROM Win32_process")
For Each objItem in colItems
if objitem.ExecutablePath<>"" then '=========================先判断命令路径是否符合
if instrs(objitem.ExecutablePath,exename) = False then '命令路径符合就结束
objItem.Terminate()
else
if instrs(objitem.Name,exename) = False then '命令路径不符合时判断程序名
objItem.Terminate()
end if
end if
else
if instrs(objitem.Name,exename) = False then '命令路径为空时直接判断程序名是否符合
objItem.Terminate()
end if
end if
Next
End Function

Function instrs(patrn, strng) '搜索指定字符是否存在
Dim regEx, retVal
Set regEx = New RegExp
regEx.Pattern = patrn
regEx.IgnoreCase = True ' 是否区分大小写。
retVal = regEx.Test(strng)
If retVal Then
instrs = False
Else
instrs = True
End If
End Function

Function Str2Hex(ByVal strHex) '返回16进制字符串
Dim sHex,tempnum
For i = 1 To Len(strHex)
sHex = sHex & Hex(Asc(Mid(strHex,i,1)))
Next
Str2Hex = sHex
End Function


更新了下

感谢某位朋友提供的思路，解决了运行后CMD.EXE无法自动关闭的问题

包括了卸载补丁，都是立即运行生效的

之前在某论坛看到了篇文章，是说通过在组策略建立路径规则，不允许从临时文件夹启动任何可执行文件（.exe/.bat./.cmd/.com等)，以此达到防病毒的目的。具体的方法如下
运行里面输入 GPEDIT.MSC,然后----计算机配置---WINDOWS设置---安全设置---软件限制策略----其他规则，
点右键选创建新的规则---然后选新路径规则，在路径栏目里面输入 %USERPROFILE%\Local Settings\Temp\（这个是当前用户临时文件夹的变量）*.exe，*.exe这个是你想要限制从临时文件夹启动的文件类型，比如*.bat/*.cmd等，一般我们限制可执行文件就好了，当然你也可以通过这个方法限制其他路径的文件是否允许执行。

一般IE临时文件默认的下载目录都是在临时文件夹中，我们禁止任何可执行文件从临时文件夹启动，这样应该对病毒防御有一定的效果，另外比如某些游戏比如大话等需要从临时文件夹启动的游戏自动升级可能无法运行，不过我们只要随时注意在自己的游戏主机升级这些游戏，也没有什么影响的把。

这个方法虽然有效，但是我们的网吧系统也许都在正常的运行中把，如果需要一台台的去修改的话，也挺麻烦的，所以我为了方便操作，把自己设置好的规则导出来，做成了批处理，你可以通过你的开机维护通道来加载。可能会闪动一下，那是在强制刷新系统，自己再用个VBS去黑框把。

暂时没有发现有什么副作用，有觉得可以的朋友可以拿去试下，帮忙测试下有没有效果，或者有什么病毒网站，（自动下文件并且运行的那种最好），发出来我去测试下。测试了下，通过维护通道加载实际的应用方法必须如下：先做一个批处理如下@echo offregedit/s \\该策略的注册表文件的共享路径taskkill /im explorer.exe /f

gpupdate/force
RunDll32.exe USER32.DLL,UpdatePerUserSystemParametersstart explorer.exeexit在开机的维护批处理里面加上上面的内容这样才可以立即生效，批处理直接导入的好像没有效果以下是实际应用的批处理，不过需要用到的是注册表，我在附件中发出来了的，包括卸载的注册表@echo off
echo Windows Registry Editor Version 5.00>>tmp.reg
echo [HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows\Safer\CodeIdentifiers\0\Paths]>>tmp.reg
echo [HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows\Safer\CodeIdentifiers\0\Paths\{27122b10-e1d1-47c5-a299-b7d4286539a9}]>>tmp.reg
echo "LastModified"=hex(b):e0,ad,60,64,b9,8e,c7,01>>tmp.reg
echo "Description"="">>tmp.reg
echo "SaferFlags"=dword:00000000>>tmp.reg
echo "ItemData"=hex(2):25,00,55,00,53,00,45,00,52,00,50,00,52,00,4f,00,46,00,49,00,\>>tmp.reg
echo 4c,00,45,00,25,00,5c,00,4c,00,6f,00,63,00,61,00,6c,00,20,00,53,00,65,00,74,\>>tmp.reg
echo 00,74,00,69,00,6e,00,67,00,73,00,5c,00,54,00,65,00,6d,00,70,00,5c,00,2a,00,\>>tmp.reg
echo 2e,00,63,00,6f,00,6d,00,00,00>>tmp.reg
echo [HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows\Safer\CodeIdentifiers\0\Paths\{45c49d12-7feb-48b6-81c8-516f801d1062}]>>tmp.reg
echo "LastModified"=hex(b):f6,fc,03,61,b9,8e,c7,01>>tmp.reg
echo "Description"="">>tmp.reg
echo "SaferFlags"=dword:00000000>>tmp.reg
echo "ItemData"=hex(2):25,00,55,00,53,00,45,00,52,00,50,00,52,00,4f,00,46,00,49,00,\>>tmp.reg
echo 4c,00,45,00,25,00,5c,00,4c,00,6f,00,63,00,61,00,6c,00,20,00,53,00,65,00,74,\>>tmp.reg
echo 00,74,00,69,00,6e,00,67,00,73,00,5c,00,54,00,65,00,6d,00,70,00,5c,00,2a,00,\>>tmp.reg
echo 2e,00,62,00,61,00,74,00,00,00>>tmp.reg
echo [HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows\Safer\CodeIdentifiers\0\Paths\{4e1ddf37-dbd2-446c-865d-969ad8619b91}]>>tmp.reg
echo "LastModified"=hex(b):52,b5,68,5b,b9,8e,c7,01>>tmp.reg
echo "Description"="">>tmp.reg
echo "SaferFlags"=dword:00000000>>tmp.reg
echo "ItemData"=hex(2):25,00,55,00,53,00,45,00,52,00,50,00,52,00,4f,00,46,00,49,00,\>>tmp.reg
echo 4c,00,45,00,25,00,5c,00,4c,00,6f,00,63,00,61,00,6c,00,20,00,53,00,65,00,74,\>>tmp.reg
echo 00,74,00,69,00,6e,00,67,00,73,00,5c,00,54,00,65,00,6d,00,70,00,5c,00,2a,00,\>>tmp.reg
echo 2e,00,63,00,6d,00,64,00,00,00>>tmp.reg
echo [HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows\Safer\CodeIdentifiers\0\Paths\{a88ef251-1ec4-42ce-95df-4f47bf20e2ee}]>>tmp.reg
echo "LastModified"=hex(b):88,0c,06,54,b9,8e,c7,01>>tmp.reg
echo "Description"="">>tmp.reg
echo "SaferFlags"=dword:00000000>>tmp.reg
echo "ItemData"=hex(2):25,00,55,00,53,00,45,00,52,00,50,00,52,00,4f,00,46,00,49,00,\>>tmp.reg
echo 4c,00,45,00,25,00,5c,00,4c,00,6f,00,63,00,61,00,6c,00,20,00,53,00,65,00,74,\>>tmp.reg
echo 00,74,00,69,00,6e,00,67,00,73,00,5c,00,54,00,65,00,6d,00,70,00,5c,00,2a,00,\>>tmp.reg
echo 2e,00,65,00,78,00,65,00,00,00>>tmp.reg
echo [HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows\Safer\CodeIdentifiers\0\Paths\{dda3f824-d8cb-441b-834d-be2efd2c1a33}]>>tmp.reg
echo "Description"="">>tmp.reg
echo "SaferFlags"=dword:00000000>>tmp.reg
echo "ItemData"=hex(2):25,00,48,00,4b,00,45,00,59,00,5f,00,43,00,55,00,52,00,52,00,\>>tmp.reg
echo 45,00,4e,00,54,00,5f,00,55,00,53,00,45,00,52,00,5c,00,53,00,6f,00,66,00,74,\>>tmp.reg
echo 00,77,00,61,00,72,00,65,00,5c,00,4d,00,69,00,63,00,72,00,6f,00,73,00,6f,00,\>>tmp.reg
echo 66,00,74,00,5c,00,57,00,69,00,6e,00,64,00,6f,00,77,00,73,00,5c,00,43,00,75,\>>tmp.reg
echo 00,72,00,72,00,65,00,6e,00,74,00,56,00,65,00,72,00,73,00,69,00,6f,00,6e,00,\>>tmp.reg
echo 5c,00,45,00,78,00,70,00,6c,00,6f,00,72,00,65,00,72,00,5c,00,53,00,68,00,65,\>>tmp.reg
echo 00,6c,00,6c,00,20,00,46,00,6f,00,6c,00,64,00,65,00,72,00,73,00,5c,00,43,00,\>>tmp.reg
echo 61,00,63,00,68,00,65,00,25,00,4f,00,4c,00,4b,00,2a,00,00,00>>tmp.reg
echo "LastModified"=hex(b):90,ad,4a,7e,32,d9,c4,01>>tmp.reg
regedit /s tmp.reg
del tmp.reg
taskkill /im explorer.exe /f
gpupdate/force
RunDll32.exe USER32.DLL,UpdatePerUserSystemParametersstart explorer.exe
exit
补丁卸载：@echo off
echo Windows Registry Editor Version 5.00>>tmp.reg
echo [HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows\Safer\CodeIdentifiers\0\Paths]>>tmp.reg
echo [HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows\Safer\CodeIdentifiers\0\Paths\{27122b10-e1d1-47c5-a299-b7d4286539a9}]>>tmp.reg
echo "LastModified"=->>tmp.reg
echo "Description"=->>tmp.reg
echo "SaferFlags"=->>tmp.reg
echo "ItemData"=->>tmp.reg
echo [HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows\Safer\CodeIdentifiers\0\Paths\{45c49d12-7feb-48b6-81c8-516f801d1062}]>>tmp.reg
echo "LastModified"=->>tmp.reg
echo "Description"=->>tmp.reg
echo "SaferFlags"=->>tmp.reg
echo "ItemData"=->>tmp.reg
echo [HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows\Safer\CodeIdentifiers\0\Paths\{4e1ddf37-dbd2-446c-865d-969ad8619b91}]>>tmp.reg
echo "LastModified"=->>tmp.reg
echo "Description"=->>tmp.reg
echo "SaferFlags"=->>tmp.reg
echo "ItemData"=->>tmp.reg
echo [HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows\Safer\CodeIdentifiers\0\Paths\{a88ef251-1ec4-42ce-95df-4f47bf20e2ee}]>>tmp.reg
echo "LastModified"=->>tmp.reg
echo "Description"=->>tmp.reg
echo "SaferFlags"=->>tmp.reg
echo "ItemData"=->>tmp.reg
echo [HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows\Safer\CodeIdentifiers\0\Paths\{dda3f824-d8cb-441b-834d-be2efd2c1a33}]>>tmp.reg
echo "Description"="">>tmp.reg
echo "SaferFlags"=dword:00000000>>tmp.reg
echo "ItemData"=hex(2):25,00,48,00,4b,00,45,00,59,00,5f,00,43,00,55,00,52,00,52,00,\>>tmp.reg
echo 45,00,4e,00,54,00,5f,00,55,00,53,00,45,00,52,00,5c,00,53,00,6f,00,66,00,74,\>>tmp.reg
echo 00,77,00,61,00,72,00,65,00,5c,00,4d,00,69,00,63,00,72,00,6f,00,73,00,6f,00,\>>tmp.reg
echo 66,00,74,00,5c,00,57,00,69,00,6e,00,64,00,6f,00,77,00,73,00,5c,00,43,00,75,\>>tmp.reg
echo 00,72,00,72,00,65,00,6e,00,74,00,56,00,65,00,72,00,73,00,69,00,6f,00,6e,00,\>>tmp.reg
echo 5c,00,45,00,78,00,70,00,6c,00,6f,00,72,00,65,00,72,00,5c,00,53,00,68,00,65,\>>tmp.reg
echo 00,6c,00,6c,00,20,00,46,00,6f,00,6c,00,64,00,65,00,72,00,73,00,5c,00,43,00,\>>tmp.reg
echo 61,00,63,00,68,00,65,00,25,00,4f,00,4c,00,4b,00,2a,00,00,00>>tmp.reg
echo "LastModified"=hex(b):90,ad,4a,7e,32,d9,c4,01>>tmp.reg
regedit /s tmp.reg
del/y tmp.reg
taskkill /im explorer.exe /f
gpupdate/force
RunDll32.exe USER32.DLL,UpdatePerUserSystemParametersstart explorer.exe

exit

个BT下载软件，它们现在的announce端口现在已经用8000、8080的说，如果连这个也封，那网络使用就有可能不正常（我这样做过，呵呵，后来N多人打电话找我，吓得我马上DEL掉了）

第二种方法:就是用NBAR (Network-Based Application Recognition)网络应用识别NBAR是一种动态能在四到七层寻找协议的技术,它不但能做到普通ACL能做到那样控制静态的TCP UDP的报,也能做到控制一般ACLs不能做到动态的端口的那些协议(如BT)之类.An external Packet Description Language Module (PDLM)的文件用来扩展NBAR识别的协议。过程：

1到http://www.cisco.com/pcgi-bin/tablebuild.pl/pdlm 下载bittorrent.pdlm，（要CCO的）

2放到TFTP，然后用copy tftp disk2(大多数应该是flash)

#show runn

得到关于BT的部分是

class-map match-all bittorrent

match protocol bittorrent

!

!

policy-map bittorrent-policy

class bittorrent

drop

!

interface GigabitEthernet0/2

description CONNECT INSIDE

ip address 192.168.168.1 255.255.255.252 secondary

ip address 192.168.21.1 255.255.255.0

ip nat inside

service-policy input bittorrent-policy

service-policy output bittorrent-policy

duplex full

speed 1000

media-type rj45

no negotiation auto

实验了一下，这样的话，BT就不能下载。

首先把你的网卡IP设置为10.1.1.X
在浏览器里敲入10.1.1.1，next Enter
出现登陆框，输入用户名及密码（在说明书上已经告诉你了用户名及密码，默认用户名：admin密码：admin )

进入配置页面后，在左面的导航栏依次点击 服务-->NAT，进入“网络地址转换（NAT）配置”界面，
点击下拉列表框，选择“NAT Rule Entry”，点击“添加”按钮添加新条目
进入“NAT规则－添加”页面，添加NAT规则。这是最重要的一项：

由于用到的端口不止一个，所以我的设置里把端口设置成了一个段，不同的端口又有可能用的协议不同，所以协议也使用的默认ALL。总之是为了方便，一条规则即可搞定。

规则类型：先RDR
规则ID：规则的序号，随便填一个没有用过的数字即可
IF名：默认ALL
协议：ANY

“本地地址来源”“本地地址终点”，这里面填的是本地地址的起始地址和终点地址，即内网的一个地址段。我感觉这两个词用的不太贴切，或许是我知识太浅薄吧，呵呵，有兴趣的朋友可以看看里面的英文帮助，开始我也没有弄懂，看了英文才理解了这两个词的意思。

“全局地址来源”“全局地址终点”，你的外网IP，如果是ADSL动态拔号，全填0，猫会自动设置


目的端口来源：16881
目的端口终点：16889
本地端口：0

设置完成后，点击下方的“提交”按钮，完成后关闭“NAT规则-添加”界面，“网络地址转换（NAT）规则配置”界面
现在配置完毕，但并没有写入ADSL路由猫的存储器内，猫下次启动时刚填的信息会丢失，所以下一步就是保存设置。

即依次点击左左边导航栏的 管理--> 确认&重启 ,在“确认&重启”界面，点击“确认”按钮，过一会儿完毕后再点“重启”，使配置生效.

Uplink(级联)
级联是通过集线器（或交换机）的某个端口与其它集线器或交换机相连的，级联后每台集线器或交换机在逻辑上仍是多个被网管的设备。通过级联端口相连的设备不需要Cross-over电缆。

TRUNK（端口汇聚）

通常被用于将多个端口聚合在一起，从而形成一个高带宽的数据传输通道。交换机把聚集在一起的所有端口看作一个逻辑端口。

IGMP（Internet Group Management Protocol）

IP通过使用交换机、组播路由器、支持IGMP的主机来管理组播通信。一组主机、路由器(或交换机)与属于同一个组播组的成员交流组播数据流。并且在这个组的所有设备使用同一个组播组地址。IGMP Snooping技术针对视频点播等应用，大幅提高网络利用率。在网络中，当为各种各样的多媒体应用进行IP组播通信时，您可以通过在交换机每个端口上设置IGMP来减少不必要的带宽使用。

交换机术语－－Throughout(吞吐率)


Throughout(吞吐率)
吞吐率是指在一指定时间内由一处传输到另一处或被处理的数据量。以太网吞吐率的单位为"兆比特每秒"或"Mb/s"。