使用IP安全策略阻止Ping

1、使 用 I P 安 全 策 略 阻 止 P i n g由于 IP 協(xié)議在設計之初并沒過多的考慮安全問題， 因此在早期的網(wǎng) 絡中經(jīng)常發(fā)生網(wǎng)絡攻擊或機密數(shù)據(jù)被竊等問題， 為了增強網(wǎng)絡的安全 性，IP安全協(xié)議（IPSec）應運而生。IP安全策略即為IPSec策略, 是 Windows 中用來配置 IPSec 安全的一項服務。 這些策略設置可為 多數(shù)現(xiàn)有網(wǎng)絡中的多數(shù)通信類型提供多種級別的保護。 IP 安全策略 可以滿足計算機、應用程序、組織單位、域、站點或全局企業(yè)的安全 需要。一個 IP 安全策略由“ IP 篩選器”和“篩選器操作”兩部分構成， 要新建一個IPSec安全策略，一般需要新建IP篩選器和篩

2、選器操作。 其中， IP 篩選器決定了哪些報文應當引起 IP 安全策略的關注；篩 選器操作是指“允許”還是“拒絕”報文的通過。本文將以簡單的 IP 安全策略配置示例為例，說明如何在 Windows 中使用 IP 安全策略保障網(wǎng)絡安全。啟用 IP 安全策略方法一：使用MMC控制臺第一步：打開開始菜單，打開“運行”或直接在開始菜單中輸入 “MM”C， 點擊“確定”按鈕后，啟動“控制臺”。第二步：點擊“控制臺”菜單中的“文件f添加/刪除管理單元”選項，彈出“添加 / 刪除管理單元”對話框，點擊“獨立”標簽頁的 “添加”按鈕，彈出“添加獨立管理單元”對話框。第三步：在列表框中選擇“ IP 安全策略管理

3、”（如圖 2），點擊“添 加”按鈕，在“選擇計算機”對話框中，選擇“本地計算機”，最后 點擊“完成”。這樣就在“ MM控制臺”啟用了 IPSec安全策略。方法二：利用本地安全策略進入“控制面板 f 管理工具”選項，運行“本地安全設置”選項， 在“本地安全設置”窗口中展開“安全設置”選項，就可以找到“ IP 安全策略，在本地計算機”。阻止 Ping 的實現(xiàn)過程在 MMC 窗口中的“ IP 安全策略”節(jié)點上點擊右鍵， 點選“創(chuàng)建 IP 安 全策略”：在彈出的“ IP 安全策略向導”窗口中點擊下一步，編輯 IP 安全策 略名稱和描述：點擊下一步，在“安全通訊請求”的設置中保持默認狀態(tài)，即：不勾 選激

4、活默認相應規(guī)則。繼續(xù)下一步。勾選“編輯屬性”，點擊完成。這時，彈出了剛才創(chuàng)建的 IP 安全策略條目的屬性窗口： 在該屬性窗口中，我們點擊“規(guī)則”選項卡中的“添加”按鈕，彈出 “創(chuàng)建 IP 安全規(guī)則向導”，點擊下一步，在“ IP? 安全規(guī)則的隧道 終結點”設置中保持默認：點擊下一步，在“網(wǎng)絡類型”設置中選擇“所有網(wǎng)絡連接”： 點擊下一步，在“ IP 篩選器列表”中點擊右側的“添加”按鈕，添 加一個新的篩選器，新篩選器的名稱和描述自定義輸入： 點擊右側的“添加”按鈕，進入“ IP 篩選器創(chuàng)建向導”，開始編輯 需要篩選的 IP 地址，點擊下一步，自定義輸入該 IP 篩選器的描述： 點擊下一步，在“源

5、地址”處選擇“任何 IP 地址”，點擊下一步， 在“目標地址”處選擇“任何 IP 地址”，點擊下一步，設置需要篩 選的 IP 協(xié)議類型，因為 Ping 是通過 ICMP 協(xié)議來實現(xiàn)的， 此處我 們選擇“ ICMP”：點擊下一步，點擊完成。此時，返回到了 IP 篩選器的列表中，在該 列表中已經(jīng)出現(xiàn)了我們之前創(chuàng)建的 IP 篩選器，我們選擇上剛才創(chuàng)建 的 IP 篩選器：點擊確定之后返回到了之前規(guī)則設置中的 IP 篩選器列表選擇窗口， 此處我們選定剛才創(chuàng)建的 IP 篩選器： 點擊下一步，添加一個篩選器操作： 點擊右側“添加”，在“ IP 安全篩選器向導”中點擊下一步，自定義輸入篩選器操作的名稱和描述： 點擊下一步，在篩選器應用的操作中選擇“阻止”： 點擊下一步，點擊完成。在篩選器操作中選擇剛才創(chuàng)建的篩選器操作： 點擊下一步，點擊完成。此時就完成了一個 IP 安全策略的全部配置，在屬性窗口中點擊確定。為了進行對比，我們先在？CMD中Ping本機IP地址：可以 Ping 通，說明本地的網(wǎng)絡狀態(tài)正常。返回到MMC