使用IP安全策略阻止Ping

1、使 用 I P 安 全 策 略 阻 止 P i n g由于 IP 協(xié)議在設(shè)計(jì)之初并沒過多的考慮安全問題， 因此在早期的網(wǎng) 絡(luò)中經(jīng)常發(fā)生網(wǎng)絡(luò)攻擊或機(jī)密數(shù)據(jù)被竊等問題， 為了增強(qiáng)網(wǎng)絡(luò)的安全 性，IP安全協(xié)議（IPSec）應(yīng)運(yùn)而生。IP安全策略即為IPSec策略, 是 Windows 中用來配置 IPSec 安全的一項(xiàng)服務(wù)。 這些策略設(shè)置可為 多數(shù)現(xiàn)有網(wǎng)絡(luò)中的多數(shù)通信類型提供多種級(jí)別的保護(hù)。 IP 安全策略 可以滿足計(jì)算機(jī)、應(yīng)用程序、組織單位、域、站點(diǎn)或全局企業(yè)的安全 需要。一個(gè) IP 安全策略由“ IP 篩選器”和“篩選器操作”兩部分構(gòu)成， 要新建一個(gè)IPSec安全策略，一般需要新建IP篩選器和篩

2、選器操作。 其中， IP 篩選器決定了哪些報(bào)文應(yīng)當(dāng)引起 IP 安全策略的關(guān)注；篩 選器操作是指“允許”還是“拒絕”報(bào)文的通過。本文將以簡(jiǎn)單的 IP 安全策略配置示例為例，說明如何在 Windows 中使用 IP 安全策略保障網(wǎng)絡(luò)安全。啟用 IP 安全策略方法一：使用MMC控制臺(tái)第一步：打開開始菜單，打開“運(yùn)行”或直接在開始菜單中輸入 “MM”C， 點(diǎn)擊“確定”按鈕后，啟動(dòng)“控制臺(tái)”。第二步：點(diǎn)擊“控制臺(tái)”菜單中的“文件f添加/刪除管理單元”選項(xiàng)，彈出“添加 / 刪除管理單元”對(duì)話框，點(diǎn)擊“獨(dú)立”標(biāo)簽頁的 “添加”按鈕，彈出“添加獨(dú)立管理單元”對(duì)話框。第三步：在列表框中選擇“ IP 安全策略管理

3、”（如圖 2），點(diǎn)擊“添 加”按鈕，在“選擇計(jì)算機(jī)”對(duì)話框中，選擇“本地計(jì)算機(jī)”，最后 點(diǎn)擊“完成”。這樣就在“ MM控制臺(tái)”啟用了 IPSec安全策略。方法二：利用本地安全策略進(jìn)入“控制面板 f 管理工具”選項(xiàng)，運(yùn)行“本地安全設(shè)置”選項(xiàng)， 在“本地安全設(shè)置”窗口中展開“安全設(shè)置”選項(xiàng)，就可以找到“ IP 安全策略，在本地計(jì)算機(jī)”。阻止 Ping 的實(shí)現(xiàn)過程在 MMC 窗口中的“ IP 安全策略”節(jié)點(diǎn)上點(diǎn)擊右鍵， 點(diǎn)選“創(chuàng)建 IP 安 全策略”：在彈出的“ IP 安全策略向?qū)А贝翱谥悬c(diǎn)擊下一步，編輯 IP 安全策 略名稱和描述：點(diǎn)擊下一步，在“安全通訊請(qǐng)求”的設(shè)置中保持默認(rèn)狀態(tài)，即：不勾 選激

4、活默認(rèn)相應(yīng)規(guī)則。繼續(xù)下一步。勾選“編輯屬性”，點(diǎn)擊完成。這時(shí)，彈出了剛才創(chuàng)建的 IP 安全策略條目的屬性窗口： 在該屬性窗口中，我們點(diǎn)擊“規(guī)則”選項(xiàng)卡中的“添加”按鈕，彈出 “創(chuàng)建 IP 安全規(guī)則向?qū)А?，點(diǎn)擊下一步，在“ IP? 安全規(guī)則的隧道 終結(jié)點(diǎn)”設(shè)置中保持默認(rèn)：點(diǎn)擊下一步，在“網(wǎng)絡(luò)類型”設(shè)置中選擇“所有網(wǎng)絡(luò)連接”： 點(diǎn)擊下一步，在“ IP 篩選器列表”中點(diǎn)擊右側(cè)的“添加”按鈕，添 加一個(gè)新的篩選器，新篩選器的名稱和描述自定義輸入： 點(diǎn)擊右側(cè)的“添加”按鈕，進(jìn)入“ IP 篩選器創(chuàng)建向?qū)А保_始編輯 需要篩選的 IP 地址，點(diǎn)擊下一步，自定義輸入該 IP 篩選器的描述： 點(diǎn)擊下一步，在“源

5、地址”處選擇“任何 IP 地址”，點(diǎn)擊下一步， 在“目標(biāo)地址”處選擇“任何 IP 地址”，點(diǎn)擊下一步，設(shè)置需要篩 選的 IP 協(xié)議類型，因?yàn)?Ping 是通過 ICMP 協(xié)議來實(shí)現(xiàn)的， 此處我 們選擇“ ICMP”：點(diǎn)擊下一步，點(diǎn)擊完成。此時(shí)，返回到了 IP 篩選器的列表中，在該 列表中已經(jīng)出現(xiàn)了我們之前創(chuàng)建的 IP 篩選器，我們選擇上剛才創(chuàng)建 的 IP 篩選器：點(diǎn)擊確定之后返回到了之前規(guī)則設(shè)置中的 IP 篩選器列表選擇窗口， 此處我們選定剛才創(chuàng)建的 IP 篩選器： 點(diǎn)擊下一步，添加一個(gè)篩選器操作： 點(diǎn)擊右側(cè)“添加”，在“ IP 安全篩選器向?qū)А敝悬c(diǎn)擊下一步，自定義輸入篩選器操作的名稱和描述： 點(diǎn)擊下一步，在篩選器應(yīng)用的操作中選擇“阻止”： 點(diǎn)擊下一步，點(diǎn)擊完成。在篩選器操作中選擇剛才創(chuàng)建的篩選器操作： 點(diǎn)擊下一步，點(diǎn)擊完成。此時(shí)就完成了一個(gè) IP 安全策略的全部配置，在屬性窗口中點(diǎn)擊確定。為了進(jìn)行對(duì)比，我們先在？CMD中Ping本機(jī)IP地址：可以 Ping 通，說明本地的網(wǎng)絡(luò)狀態(tài)正常。返回到MMC