IP安全策略的設(shè)置

1、實驗報告IP安全策略的設(shè)置IP安全策略設(shè)置方法、適用范圍:它適用于2000以上Windows系統(tǒng)的專業(yè)版；對家庭版的用戶可以看一下是不是能通過：控制臺（運行mm。文件添加/刪除管理單元添加添加獨立單元，添加上“ IP安全策略管理”，如行的話 則可在左邊的窗口中看到“ IP安全策略，在本地計算機” 了，接下來的操作就跟專業(yè)版一樣了。二、找到“ IP安全策略，在本地計算機”：“IP安全策略，在本地計算機”選項在“本地安全設(shè)置”下，所以要找到它就得打開“本地安全設(shè)置”。打開“本地安全設(shè)置”的方法，除特殊情況下在上面說的“控制臺”中 添加外，主要采用以 下兩種方法來打開：1是點“開始”“運行”輸入 s

2、ecpol.msc點確定；2是“控制面板”“管 理工具”“本地安全策略”。打開“本地安全策略”對話框就能在左邊的窗口中看到“ IP安全策略， 在本地計算機” 了。右擊它，在它的下級菜單IP安全策略中能看到“創(chuàng)建IP安全策略”和“管理IP篩選器表和篩選器操作”等菜單（也可以在此 級菜單中的“所有任務(wù)”項的下級菜單中看到上面的兩個菜單）。我們的IP安全策略主要在用于QV同網(wǎng)段IP隔離這兩個菜單下操作。對“創(chuàng)建IP安全策略”的操作，可先做也可以后做。先做呢，沒有內(nèi) 容，只能建一個空的策略放在那里，等“篩選器列表”和“篩選器”有了內(nèi)容，再添加進去；后做呢， 就能在建好自己的IP安全策略后馬上把剛才做好

3、的“篩選器”和“篩選器操作”添加進去。所以通常 把它放到后面去做，這里也把它放到后面去做。三、建立新的篩選器:1、在“IP安全策略，在本地計算機”的下級菜單中選擇“管理IP篩選器和篩選器操作”菜單，打開“管理IP篩選器和篩選器操作”對話框，里面有兩個標(biāo)簽：“管理IP篩選器列表”和“管理篩選器操作”。選擇“管理IP篩選器列表”標(biāo)簽，在“IP篩選器列表”下的文本框下面能看到三個按鈕：“添加”、“編輯”和“刪除”。頁腳內(nèi)容23* 51* I?Wi<E.> M.%n*Mmm力 .全招理MtsUSehir ldifi4«站EE】E«*J訐壬X廊i-通UMBJfflS &#

4、39;Wtir巾啪壯艮工ft? u “rfilrm1世管理安全刪選器列表文件更I技作因 宜春吟 到肚199區(qū)艮白.量生就宣 4 HFg1- R亦填嵐55，-1心目特本 ，找忤限就柒生T, it =LiM«i IL春及T眠 右,高沔H現(xiàn)ir哥霹銖麥。m洪察柞?|x_4 :燃疆也阡謝 副甘川戶硒 歸附，監(jiān).，前n I f可用的TF兩I微上®黃析有的TT 西|斶共王.IP市立爭土Kl 名ft:fM Tfflp 曲ML 喻' 升ffi'rlft口£品1 尊式與任阿其也討. 由帝，甘典而府低苴一計aa ar 拙蹤如2、點“添加”按鈕，打開叫做“ IP篩選器列

5、表”的對話框，里面有三個文本框，從上到下分別是:稱”、“描述”和“篩選器”。在“名稱”和“描述”文本框右邊，能看到“添加”、“編輯”和“刪除” 三個按鈕（對沒有內(nèi)容的篩選器而言，它的“編輯”和“刪除”按鈕不可用） ，在這三個按鈕下有一個復(fù)選框，復(fù)選框后面有“使用添加向?qū)А边@樣的文本說明。3、取消默認(rèn)的對“使用 添加向?qū)А钡墓催x，在“名稱”下面的文本框中把默認(rèn)的“新 IP篩選器列 表”修改成下面要建立的篩選器列表的名稱，我們這里先輸入： “病毒常駐端口”，在“描述”下面的 空白文本框中輸進去“病毒常駐端口”后面的全部端口號（可以用復(fù)制、粘貼來操作） ，主要作用是便 于下一步對照著添加作為“篩選器

6、”具體內(nèi)容的“端口”。這時可以點“確定”按鈕，保存本“篩選器” （ 但由于它沒有任何內(nèi)容，所以會蹦出來“ IP篩選器列表警告”對話框，提示“這個IP篩選器列表是空 的。沒有匹配的IP數(shù)據(jù)包。您想嗎？” ，因為保存是目的，所以選擇“是”。占擊“是”八、JJLJ ACL4、這里我們不點“確定”，不保存空的篩選器，直接向“篩選器”下面的文本框中添加本篩選器要操 作的端口。這個文本框中是不能直接用輸入法輸入、編輯的，具體方法見下一步。四、添加“篩選器”要操作的端口：1、點“IP篩選器列表”對話框中的“添加”按鈕，打開“篩選器 屬性”對話框。這個對話框里面有 三個標(biāo)簽：“尋址”、“協(xié)議”和“描述”。2、

7、在“尋址”標(biāo)簽下有兩個選項框和一個復(fù)選框。從上到下是“源地址”選項框、“目標(biāo)地址”選項框和“鏡像。同時與源地址和目標(biāo)地址匹配”復(fù)選框。因為我們現(xiàn)在要做的是“進入端口”的阻止設(shè)置，也就是要阻止病毒、木馬從這些端口聯(lián)系或叫“進入”咱們的系統(tǒng)，所以我們在“源地址”下選擇“任何IP地址”，在“目標(biāo)地址”下選擇“我的IP地址”，取消對“鏡像”復(fù)選框的勾選； 如果是做“出端口”則在“源地址”下選擇“我的 IP地址”，在“目標(biāo)地址”下選擇“任何IP地址”， 同樣不選擇“鏡像”。尋址協(xié)議描述篇選鐫且性源地址）:我的IP地址標(biāo)地址也機 任何1P地蚯鏡漆回酎寫源地址而自標(biāo)地址正科相反的數(shù)據(jù)笆梢匹配而3nv r&#

8、171; mi lira vn I iwbiii »* rnaurBill » nrn « miianHiBiiii m iih ii rni，nn，rmiiiiaw，i，tbii i aan mr btii larwiBp3、在“協(xié)議”標(biāo)簽下，默認(rèn)狀態(tài)下只有“選擇協(xié)議類型”選項框可操作。點一下選項框右邊的小三角按鈕，打開選項列表，根據(jù)端口的協(xié)議類型來選擇（我們可以操作的主要是“ TCP和"UDP,在下面 所列的“要做的篩選器”下要做的篩選器列表如：“病毒常駐端口”、“打印與共享”等，在它們下面所列的端口號前面都用括號把相應(yīng)的類型做了標(biāo)記）。選擇了類型后

9、，下面的“設(shè)置 IP協(xié)議端口”成為 可選狀態(tài)，咱們是在做不允許別人進，所以就在上半部保留默認(rèn)選擇的“從任意端口”，在下半部選擇“到此端口” （這里所說的“選擇”操作就是在復(fù)選框前的小圓框里點上一個小黑點，就算選上啦），選擇之后它下面的文本框變成可操作狀態(tài)，在里面輸入一個端口。因為每次只能輸入一個端口，所以咱們要做多少個端口就得操作多少次。 這一步如果是做“出端口”，則應(yīng)在選擇好“協(xié)議類型”后在“設(shè) 置IP協(xié)議端口”的上半部選擇“從此端口” ，然后輸入一個端口，下半部保留默認(rèn)選擇的“到任意端J工在工芭* ij»脩下將屬( W本生瑞+ -1;胡用電+找件陛制蕭軍鼻r KU7 /岫1尋址櫛

10、射工屬曲典祭阻力 MMM*盤霞If明際口:'* 4巴點希口通 r jArnniy.到三填至口 口，到tQk4、在“描述”標(biāo)簽下只有一個“描述”文本輸入框。可以在里面輸入自己心儀的描述。通常只對入端 口做描述：阻止任意地址任意端口訪問我的 *端口。然后點“確定”，完成對這個端口的操作。因為 在“描述”標(biāo)簽下只能點“確定”按鈕而不能按“回車”鍵確定，所以想加快速度，可以先做描述， 再做協(xié)議，端口輸入“回車”就“確定” 了。也可以不作描述，這樣更快。5、確定后，在“ IP篩選器列表”對話框下的“篩選器”下的文本框中就能看到剛才添加的“篩選器”了。這里說的“篩選器”，事實上就是我們剛才添加的“

11、端口” ，可以拖動下面的滾動條查看咱們剛才 或叫以前輸入的內(nèi)容是否正確，如果有誤，可以雙擊它打開進行修改。也可以選中它后點“編輯”按 鈕進行修改，當(dāng)然也可以點“刪除”按鈕刪除它。關(guān)閉6、”病毒常駐端口”后所列的端口添加完后，在“ IP篩選器列表”對話框下點“確定”按鈕，完成對“病毒常駐端口”的操作管理IP麻造器喪和笄選器操作回又自理ir隔龐艷冽表 管也諦情器操作_此對話任允評您創(chuàng)建并版爐描，出正的河第逋信的ip筋 季 選器列表.可用的If施選器列表被祈有的I?寰生策咯共事口ir瑜也圖列表U；描注名怵icwTlTHB'33W所有ip通汛量匹配運力苴磯均任何再跑.匹配設(shè)計算磯到任何K1ui

12、+.新Q)二輯翱除粵 關(guān)閉 j五、如法炮制，完成對全部篩選器的添加：完成對“病毒常駐端口”的操作后，返回到“三” -“2”之步驟，繼續(xù)添加“打印與共享端口”等，直到把木馬入、出端口、以及自己想要添加的任何端口如數(shù)添加完成。六、創(chuàng)建“ IP安全策略”并添加“篩選器”和“篩選器操作”：1、創(chuàng)建“IP安全策略”。在“本地安全設(shè)置”對話框中左邊的樹狀圖中找到“IP安全策略，在本地計算機”，右擊，選擇“創(chuàng)建IP安全策略”，出來“ IP安全策略向?qū)А睂υ捒颍稽c“下一步”，出現(xiàn)副 標(biāo)題為“IP安全策略名稱 命名”的對話框，下面有兩個文本框，自上而下是“名稱”和“描述”。這里不用描述，直接在“名稱”下輸入自己

13、心儀的名字就行，為表述方便，假定取名為“我的IP安全策略”；點“下一步”，出來副標(biāo)題為“安全通訊請求 指定”的對話框，只有一個“激活默認(rèn)響應(yīng) 規(guī)則”的復(fù)選框，取消對它的默認(rèn)勾選，點“下一步”，到“完成”對話框，也只有一個“編輯屬性” 的復(fù)選框，取消對它的默認(rèn)勾選，點“完成”。這樣在“本地安全設(shè)置”對話框右邊的名稱標(biāo)簽欄下的 列表中就能看到咱們新建的、自己定義的“我的IP安全策略” 了。洋“地安至炭雀輸入名稱，點擊下一步取消默認(rèn)取消默認(rèn)2、選中它，點操作菜單，點“屬性”；或右擊它點“屬性”；或雙擊打開它，出來“我的IP安全策略屬 性”對話框。里面有兩個標(biāo)簽：“規(guī)則”和“常規(guī)”。我們只對“規(guī)則”做

14、操作。在“規(guī)則”下只有一 個“IP安全規(guī)則”文本框，同樣這里不能直接輸入，點下面的“添加”按鈕，出來“新規(guī)則屬性”對話框，里面有五個標(biāo)簽，我們需要操作的是“ IP篩選器列表”和“篩選器操作”標(biāo)簽。選擇“ IP篩選 器列表”標(biāo)簽，在“ IP篩選器列表”文本框中能看到剛才創(chuàng)建“病毒常駐端口”等篩選器了。取消點選“添加向?qū)А?#176;文件如曲作如昔百舊鉗船® 向能,目陪聞國土,iUH躁上策/HU，國if宣i»w里.1牌選曼PJft|鼻MMfe花|看的£曲覆|»1£塞口 Eh>堂N謝i« 無金加 金撅5一.J r «,制阿導(dǎo)

15、"/英劃|迎更二| >1生件上）檢作隨者言中誓助區(qū)向x西反食迂之與四小，*U Wtsm 砸原曲I身份船12方考觸苜設(shè)豈底片型S!n用£毛辰H：函口 m*空際門O所專工評iMittBrO所芍：ef道祖呈制n叫0監(jiān)聊電推小第印見法計時與任劉聲ttV-tt的恭汁黃就狗仔軻苴乜計苴3、選擇第一個或最后一個（因為每次只能添加一個，這樣方便下面依次操作），為方便表述，咱們假設(shè)選擇“病毒常駐端口”。這里的“選擇”，指的是在篩選器前面的復(fù)選圈中點上小黑點，這樣就“選 擇”上了。4、選擇上后，不做任何操作，轉(zhuǎn)而選擇“篩選器操作”標(biāo)簽，這里有個“篩選器操作”列表框，我們要到這里去選擇“阻

16、止”。通常這里沒有“阻止”，這就需要添加。點列表框下的“添加”按鈕，出來“新篩選器操作屬性”對話框，下面有兩個標(biāo)簽，“安全措施”和“常規(guī)”。在“安全措施”下找到“阻 止”，在它前面的復(fù)選框中點上黑點，再選擇“常規(guī)”標(biāo)簽，把“名稱”下文本框中默認(rèn)的“新篩選器 操作”改為“阻止”。點“確定”，自動返回到“篩選器操作”標(biāo)簽，這下在“篩選器操作”列表框中 看到“阻止” 了，把它前面的復(fù)選圈中點上黑點（選中它），點“確定”。5、點“確定”后，自然返回到“我的IP安全策略”對話框，這下在“ IP安全規(guī)則”下的“ IP篩選器 列表”下就能看到剛才添加上的“篩選器操作”為阻止的篩選器了。七、如法炮制，完成對“

17、 IP篩選器列表”中所有篩選器的添加：返回“六” “ 2”的步驟，事實上只 要不停電，或沒有關(guān)閉窗口，目前應(yīng)該就在這一步，點“ IP安全規(guī)則”列表框下的“添加”按鈕，把“IP篩選器列表”中所有的，事實上也是我們剛才做的篩選器逐一、全部添加進去。八、指派“我的IP安全策略”：上面的工作完成后，回到“本地安全設(shè)置”對話框，在右邊的名稱標(biāo) 簽欄下找到“我的IP安全策略”，選中它，到“操作”菜單或右擊它，選擇“指派”。至此大功告成！附：要做的篩選器病毒常駐端口:(UDP 1026 69 (TCP 135 443 4444打印與共享端口：(UDP 137 138 (TCP 139 445木馬入端口 ：

18、木馬入 1 (TCP 1433 10067 10167 12345 12346 20034 26274 3129 3389 3700 30100-30102 313； 31785 31787-31789 31791 31792 40421-40425 47262 5321 5400-5402 5569 54320 54321 666 6400 6969 6970 7300 7626 9872-9875 9989木馬入 2(TCP 143 1001 1011 1025 1033 1170 1234 1243 1429 1600 1807 1981 1999 11000 11223 1207(12

19、361 16969 19191 21 23 25 2000 2001 2003 2115 2140 2583 2801 20000 20001 21554 22222 23456 27374 31 3128 3150 3210 3333 3996 30303 3099931338木馬入 3(TCP 31339 31666 33333 34324 456 4060 4092 4321 4590 40412 40426 43210 44445 555 50005550 5632 5742 50766 53001 6267 6670 6671 6711 6776 6883 61466 65000 79 7000 7301 7306 7307 7308 778 80 99 9400 9401 9402其它入 (UDP 139 1433 445 53 TCP 113 121 1029 1068 1080 1092 2023 20168 23444 23445 30129 4899 49( 43958 45576 53 520 5001 5554 5800 5900 50505 660 6000 6129 6771 6939 707 7511 808 8011 8102 8888 999( 9996木馬出端口： 木馬出 1 (TCP 143