在公司局域网中，我们常常处于网络安全的考虑而禁止局域网电脑相互通讯，或者禁止外来电脑加入公司局域网，禁止非公司电脑访问公司局域网服务器或其他电脑等，同时也需要防止外来电脑、员工自己的手机、平板电脑接入公司局域网蹭网，从而给网络安全、信息安全带来较大隐患。

那么，如何阻止外来电脑接入公司局域网、禁止外来电脑无线上网、甚至禁止局域网电脑相互通讯呢？本文提供了两种比较有效的方法：一、通过局域网接入管理软件、网络准入控制系统来实现。

目前国内有一些比较专业的局域网网络准入控制系统，例如当前国内知名的“维创局域网安全卫士”（下载地址：szdataplus.com/wailaidiannaokongzhi.html）就可以轻松实现控制外来电脑接入公司局域网的目的。

通过将“维创局域网安全卫士部署在公司局域网任意一台电脑上，就可以扫描局域网所有电脑、手机、平板电脑等，通过一种类似于白名单的方式，可以将公司内部电脑放入白名单，这样公司内部电脑就可以相互通讯，也可以访问公司文件服务器等关键主机；而将手机、平板电脑或外来笔记本电脑等，放入黑名单，这样就无法与局域网电脑相互通讯，同时也无法上网了。

当然，如果你想阻止公司局域网内部电脑，包括白名单的电脑相互通讯的话，则只需要将白名单的某个或某些电脑放入黑名单，则即刻无法与其他白名单的电脑相互通讯，从而可以轻松实现禁止局域网电脑相互通讯的目的。

而通过防止外来电脑、手机或平板接入公司局域网，也极大地保护了网络安全，防止蹭网等现象的出现。

此外，维创局域网安全卫士还可以检测局域网手机、平板电脑等，便于网管实现精确的管理；可以防止局域网arp攻击、禁止局域网电脑启用代理上网、禁止修改局域网IP地址、禁止修改mac地址、检测局域网混杂网卡、防止局域网网络嗅探、检测局域网无线路由器，禁止员工私自安装无线路由器的行为，防止网络不当扩展，如下图所示：图：维创局域网网络准入控制系统二、通过路由器阻止局域网电脑相互通讯、防止外来电脑接入公司局域网、禁止外来电脑上网等。

通过路由器控制公司内部电脑相互通讯，是通过”IP安全策略来实现“，那么什么是“IP安全策略”呢？由于在IP协议设计之初并没过多考虑安全问题，因此早期的网络中经常发生遭受攻击或机密数据被窃取等问题。

为了增强网络的安全性，IP安全（IPSec）协议应运而生。

Windows 2000/XP/2003操作系统也提供了对IPSec协议的支持，这就是我们平常所说的“IPSec安全策略”功能，虽然它提供的功能不是很完善，但只要你合理定制，一样能很有效地增强网络安全。

我们来看微软是怎么解释IPSEC的：IPsec 规则确定 IPsec 必须对哪些类型的通信流进行检查；是允许通信流、阻止通信流还是协商安全性；如何对 IPSec 对等方进行身份验证；以及其他设置。

配置 IPsec 规则时，您可以配置筛选器列表，该列表包含一个或多个筛选器、筛选器操作、身份验证方法、连接类型和 IPsec 封装模式（传输模式或隧道模式）。

IPsec 规则通常是针对特定用途（例如，“阻止所有从 Internet 到 TCP 端口 135 的入站通信流”）配置的。

现在我们就来进行具体操作，首先启动“本地IPSec安全策略”，其实启动“”的方式有很多。

我呢，就以在Windows XP系统为例，选择一种方式来启用IPSec安全策略功能。

打开“控制面板”如下图所示：接着双击“管理工具”选项，打开“管理工具”窗口。

如下图所示：再运行“本地安全策略”选项，打开“本地安全设置”窗口，在此窗口中选择“IP安全策略，在本地计算机”选项：在进行实例之前，我们先来探讨一下“IPSec安全策略”的组成：为了增强网络通信安全或对客户机器的管理，管理员可以通过在Windows系统中定义IPSec安全策略来实现。

一个IPSec安全策略由IP筛选器和筛选器操作两部分构成，其中IP筛选器决定哪些报文应当引起IPSec安全策略的关注，筛选器操作是指“允许”还是“拒绝”报文的通过。

要新建一个IPSec安全策略，一般需要新建IP筛选器和筛选器操作。

上面这段话比较专业，我通俗的说一下。

我们以一个学校来比喻一台计算机，以学生来比喻网络中的数据流，学校大门就相当于网卡上的网线接口。

那么一条IP安全策略就相当于在学校校门口的通行制度。

只有本校的学生或工作人员可以通过此校门，而在未经允许的情况下，外校的同学和社会上的人是不允许进入学校的。

这条通行制度是怎么规定的呢，可以通过这样一种方式来描述。

第一，通行制度所规范的对象是人（可以是同学，也可以是社会上的其他人）；第二，对于所规范的对象采取的措施，例如：假使进学校的是同学，则允许通过，而假使不是本校的同学，则不允许通过。

“IP筛选器”和“筛选器操作”其实就相当于上面介绍的两点：前者指定网络中的数据流类型，后者指定对此数据流的操作（具体到允许通过还是阻止通过）。

现在我们明白了“IPSec安全策略”的组成了吧！接下来我们以一具体“IPSec安全策略”应用实例来详细操作它。

目的：阻止局域网中IP为“192.168.0.251”的机器访问我的这台机器。

较早步：在IP安全策略主窗口中，右键点击“IP安全策略，在本地计算机”，选择“创建IP安全策略”选项，进入“IP安全策略向导”，点击“下一步”，在“IP安全策略”名称对话框中输入该策略的名字“阻止251机器与我通信”，如下图所示：点击“下一步”，下面弹出的对话框中，取消“激活默认响应规则”多选框，点击“下一步”较后点击“完成”按钮。

接下来会弹出一对话框，我们先关闭它。

现在一条“IPSec安全策略”规则已被我们创建，但是现在它还不能使用，因为还没有对它进行规定，就是说这条规则还只是一条空白规则，在对它进行规则设定之前。

我们的过程是先创建所需的规则，然后再把创建的规则应用到此策略上。

第二步：为该策略创建一个筛选器。

右键点击“IP安全策略，在本地计算机”，在菜单中选择“管理IP筛选器表和筛选器操作”，切换到“管理IP筛选器列表”标签页，点击下方的“添加”，弹出的“IP筛选器列表”对话框，在“名称”输入框中输入“阻止251机器策略之数据类型”，点击“添加”，进入“IP筛选器向导”窗口，点击“下一步”，在“源地址”下拉列表框中选择“我的IP地址”，点击“下一步”后，在“目标地址”下拉列表框中选择“一个特定IP地址”，然后输入该计算机的IP地址和子网掩码，如“192.168.0.251”。

点击“下一步”，接着在“选择协议类型”中选择“任意”协议：点击“下一步”，然后单击“完成”结束第二步。

第三步：新建一个阻止操作。

切换到“管理筛选器操作”标签页，点击“添加”按钮，进入到“新筛选器操作属性”对话框，点击“阻止”单选按钮。

再切换到“常规”选项卡：给这个操作起一个名字，如“阻止251机器策略之管理”，点击“确定”，就完成了“IP安全筛选器操作”的添加工作。

第四步，把第二步和第三步所创建的规则应用到较早步的“IPSec安全策略”上，先右击“阻止251机器与我通信”IP安全策略规则。

单击“属性”：打开“阻止251机器与我通信属性”对话框：单击“添加”，弹出“新规则 属性”对话框，切换到“IP 筛选框列表”选项卡。

选中“阻止251机器策略之数据类型”（就是第二步我们所创建的），在切换到“筛选器操作”，选中第三步创建的“阻止251机器策略之管理”规则。

单击“确定”，在“IP安全规则”中，我们可以看到刚刚创建的规则，选中该规则前的复选框：单击“确定”，这样，所有的操作都已完毕。

我们来测试一下，右击上面创建的“阻止251机器与我通信”IP安全策略，点击“指派”：当然首先得确保局域网中有一台电脑网址为“192.168.0.251”，打开“运行”输入框，输入“cmd”，打开“命令提示符”窗口，然后输入命令：ping 192.168.0.251我们看出，测试成功。

补充：Windows系统的IPSec安全策略也存在不足，一台机器同时只能有一个策略被指派。

/