如何建立IP MAC的网络安全信任关系

通过绑定MAC地址设置允许访问，通过路由器来进行设置，在一定程度上是能够实现的。因为这依赖于路由器是否支持安全设置选项有关。如果路由器不支持的话，则做不到这一点。

绑定MAC地址允许访问的方法如下（以下均是在路由器管理界面中 *** 作）：

（1）设置页面—>DHCP服务器—>静态地址分配—>将全部有效的IP地址与MAC地址绑定，输入并保存即可

（2）设置页面—>安全设置—>防火墙设置—>选择开启防火墙，开启IP地址过滤，开启MAC地址过滤三项—>选择凡是不符合已设IP地址过滤规则的数据包，禁止通过本路由器和仅允许已设MAC地址列表中已启用的MAC地址访问Internet。

（3）设置页面—>安全设置—>IP地址过滤—>添加新条目—>把有效的IP地址填进去，并选择使所有条目生效。

（4）设置页面—>安全设置—>MAC地址过滤—>添加新条目—>把有效的MAC地址填进去，并选择使所有条目生效。

这样设置后，除了已经设置的IP和MAC地址外，其它都是被禁止的。

但局域网内部之间可以正常访问。

因为各个版本IE，ActiveX的设置不太相同，所以建议用reg导入导出的功能。

可以给你IE8的。

其中Zones代表：

1 本地 Intranet 区域

2 受信任的站点区域

3 Internet 区域

4 受限制的站点区域

REG_DWORD代表：

0 启用

1 提示

3 禁止

（其中“仅允许经过批准的域在未经提示的情况下使用 ActiveX”是反的，应该是翻译问题……）

代码如下：

:控件自动提示

REG add "HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\2" /v "2201" /t reg_dword /d 0x00000000 /f

:对标记为可安全执行脚本的 ActiveX 控件执行脚本

REG add "HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\2" /v "1405" /t reg_dword /d 0x00000000 /f

:对未标记为可安全执行脚本的 ActiveX 空间初始化并执行脚本

REG add "HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\2" /v "1201" /t reg_dword /d 0x00000000 /f

:二进制和脚本行为

REG add "HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\2" /v "2000" /t reg_dword /d 0x00000000 /f

:仅允许经过批准的域在未经提示的情况下使用 ActiveX

REG add "HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\2" /v "120B" /t reg_dword /d 0x00000003 /f

:下载未签名的 ActiveX 控件

REG add "HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\2" /v "1004" /t reg_dword /d 0x00000000 /f

:下载已签名的 ActiveX 控件

REG add "HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\2" /v "1001" /t reg_dword /d 0x00000000 /f

:允许 Scriptlet

REG add "HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\2" /v "1209" /t reg_dword /d 0x00000000 /f

:允许运行以前未使用的 ActiveX 控件而不提示

REG add "HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\2" /v "1208" /t reg_dword /d 0x00000000 /f

:运行 ActiveX 控件和插件

REG add "HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\2" /v "1200" /t reg_dword /d 0x00000000 /f

:在没有使用外部媒体播放机的网页上显示视频和动画

REG add "HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\2" /v "120A" /t reg_dword /d 0x00000000 /f

至于可信站点，只试过网址的，可以告诉你，你自己举一反三：

reg add "HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Internet Settings\ZoneMap\Domains\baidu.com\www" /v http /t REG_DWORD /d 0x00000002 /f

其中baidu.com\www必须按他的格式，比如mail.163.com需要改成163.com\mail，后面的http是协议名，可以改成https或者ftp。

搜了下，IP可以这样写：

reg add "HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Internet Settings\ZoneMap\Ranges\Range100" /v "*" /t REG_DWORD /d 00000002 /f

reg add "HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Internet Settings\ZoneMap\Ranges\Range100" /v ":Range" /t REG_SZ /d "191.0.0.6" /f

其中Range100这个数字随便编，只要别跟现有的一样就行了。图形界面添加的是自己编号的。

第一行的*代表协议，http、https、ftp等……

希望能帮到你。

---