IP安全策略的設(shè)置

1、IP安全策略設(shè)置方法一、適用范圍：它適用于2000 以上Windows 系統(tǒng)的專業(yè)版；對家庭版的用戶可以看一下是不是能通過：控制臺（運行mmc）文件添加/刪除管理單元添加添加獨立單元，添加上“IP安全策略管理”，如行的話則可在左邊的窗口中看到“IP安全策略，在本地計算機”了，接下來的操作就跟專業(yè)版一樣了。二、找到“IP安全策略，在本地計算機”：“IP 安全策略，在本地計算機”選項在“本地安全設(shè)置”下，所以要找到它就得打開“本地安全設(shè)置”。打開“本地安全設(shè)置”的方法，除特殊情況下在上面說的“控制臺”中添加外，主要采用以下兩種方法來打開：1是點“開始”“運行”輸入，點確定；2 是“控制面板”“管理

2、工具”“本地安全策略”。打開“本地安全策略”對話框就能在左邊的窗口中看到“IP安全策略，在本地計算機”了。右擊它，在它的下級菜單IP 安全策略中能看到“創(chuàng)建IP安全策略”和“管理IP篩選器表和篩選器操作”等菜單（也可以在此級菜單中的“所有任務(wù)”項的下級菜單中看到上面的兩個菜單）。我們的IP安全策略主要在用于QV同網(wǎng)段IP隔離這兩個菜單下操作。對“創(chuàng)建IP安全策略”的操作，可先做也可以后做。先做呢，沒有內(nèi)容，只能建一個空的策略放在那里，等“篩選器列表”和“篩選器”有了內(nèi)容，再添加進去；后做呢，就能在建好自己的IP安全策略后馬上把剛才做好的“篩選器”和“篩選器操作”添加進去。所以通常把它放到后面去

3、做，這里也把它放到后面去做。三、建立新的篩選器：1、在“IP安全策略，在本地計算機”的下級菜單中選擇“管理IP篩選器和篩選器操作”菜單，打開“管理IP篩選器和篩選器操作”對話框，里面有兩個標簽：“管理IP 篩選器列表”和“管理篩選器操作”。選擇“管理IP篩選器列表”標簽，在“IP篩選器列表”下的文本框下面能看到三個按鈕：“添加”、“編輯”和“刪除”。管理安全刪選器列表2、點“添加”按鈕，打開叫做“IP篩選器列表”的對話框，里面有三個文本框，從上到下分別是：“名稱”、“描述”和“篩選器”。在“名稱”和“描述”文本框右邊，能看到“添加”、“編輯”和“刪除”三個按鈕（對沒有內(nèi)容的篩選器而言，它的“編

4、輯”和“刪除”按鈕不可用），在這三個按鈕下有一個復(fù)選框，復(fù)選框后面有“使用添加向?qū)А边@樣的文本說明。3、取消默認的對“使用添加向?qū)А钡墓催x，在“名稱”下面的文本框中把默認的“新IP篩選器列表”修改成下面要建立的篩選器列表的名稱，我們這里先輸入：“病毒常駐端口”，在“描述”下面的空白文本框中輸進去“病毒常駐端口”后面的全部端口號（可以用復(fù)制、粘貼來操作），主要作用是便于下一步對照著添加作為“篩選器”具體內(nèi)容的“端口”。這時可以點“確定”按鈕，保存本“篩選器”。但由于它沒有任何內(nèi)容，所以會蹦出來“IP篩選器列表警告”對話框，提示“這個IP篩選器列表是空的。沒有匹配的IP數(shù)據(jù)包。您想嗎？”，因為保存

5、是目的，所以選擇“是”。點擊“是”。4、這里我們不點“確定”，不保存空的篩選器，直接向“篩選器”下面的文本框中添加本篩選器要操作的端口。這個文本框中是不能直接用輸入法輸入、編輯的，具體方法見下一步。四、添加“篩選器”要操作的端口：1、點“IP篩選器列表”對話框中的“添加”按鈕，打開“篩選器屬性”對話框。這個對話框里面有三個標簽：“尋址”、“協(xié)議”和“描述”。2、在“尋址”標簽下有兩個選項框和一個復(fù)選框。從上到下是“源地址”選項框、“目標地址”選項框和“鏡像。同時與源地址和目標地址匹配”復(fù)選框。因為我們現(xiàn)在要做的是“進入端口”的阻止設(shè)置，也就是要阻止病毒、木馬從這些端口聯(lián)系或叫“進入”咱們的系統(tǒng)

6、，所以我們在“源地址”下選擇“任何IP地址”，在“目標地址”下選擇“我的IP地址”，取消對“鏡像”復(fù)選框的勾選；如果是做“出端口”則在“源地址”下選擇“我的IP 地址”，在“目標地址”下選擇“任何IP地址”，同樣不選擇“鏡像”。3、在“協(xié)議”標簽下，默認狀態(tài)下只有“選擇協(xié)議類型”選項框可操作。點一下選項框右邊的小三角按鈕，打開選項列表，根據(jù)端口的協(xié)議類型來選擇（我們可以操作的主要是“TCP”和“UDP”，在下面所列的“要做的篩選器”下要做的篩選器列表如：“病毒常駐端口”、“打印與共享”等，在它們下面所列的端口號前面都用括號把相應(yīng)的類型做了標記）。選擇了類型后，下面的“設(shè)置IP協(xié)議端口”成為可選

7、狀態(tài)，咱們是在做不允許別人進，所以就在上半部保留默認選擇的“從任意端口”，在下半部選擇“到此端口”（這里所說的“選擇”操作就是在復(fù)選框前的小圓框里點上一個小黑點，就算選上啦），選擇之后它下面的文本框變成可操作狀態(tài)，在里面輸入一個端口。因為每次只能輸入一個端口，所以咱們要做多少個端口就得操作多少次。這一步如果是做“出端口”，則應(yīng)在選擇好“協(xié)議類型”后在“設(shè)置IP協(xié)議端口”的上半部選擇“從此端口”，然后輸入一個端口，下半部保留默認選擇的“到任意端口”。4、在“描述”標簽下只有一個“描述”文本輸入框。可以在里面輸入自己心儀的描述。通常只對入端口做描述：阻止任意地址任意端口訪問我的*端口。然后點“確定

8、”，完成對這個端口的操作。因為在“描述”標簽下只能點“確定”按鈕而不能按“回車”鍵確定，所以想加快速度，可以先做描述，再做協(xié)議，端口輸入“回車”就“確定”了。也可以不作描述，這樣更快。5、確定后，在“IP篩選器列表”對話框下的“篩選器”下的文本框中就能看到剛才添加的“篩選器”了。這里說的“篩選器”，事實上就是我們剛才添加的“端口”，可以拖動下面的滾動條查看咱們剛才或叫以前輸入的內(nèi)容是否正確，如果有誤，可以雙擊它打開進行修改。也可以選中它后點“編輯”按鈕進行修改，當(dāng)然也可以點“刪除”按鈕刪除它。6、“病毒常駐端口”后所列的端口添加完后，在“IP篩選器列表”對話框下點“確定”按鈕，完成對“病毒常駐

9、端口”的操作。五、如法炮制，完成對全部篩選器的添加：完成對“病毒常駐端口”的操作后，返回到“三”“2”之步驟，繼續(xù)添加“打印與共享端口”等，直到把木馬入、出端口、以及自己想要添加的任何端口如數(shù)添加完成。六、創(chuàng)建“IP安全策略”并添加“篩選器”和“篩選器操作”： 1、創(chuàng)建“IP安全策略”。在“本地安全設(shè)置”對話框中左邊的樹狀圖中找到“IP安全策略，在本地計算機”，右擊，選擇“創(chuàng)建IP安全策略”，出來“IP安全策略向?qū)А睂υ捒?；點“下一步”，出現(xiàn)副標題為“IP安全策略名稱命名”的對話框，下面有兩個文本框，自上而下是“名稱”和“描述”。這里不用描述，直接在“名稱”下輸入自己心儀的名字就行，為表述方便

10、，假定取名為“我的IP安全策略”；點“下一步”，出來副標題為“安全通訊請求指定”的對話框，只有一個“激活默認響應(yīng)規(guī)則”的復(fù)選框，取消對它的默認勾選，點“下一步”，到“完成”對話框，也只有一個“編輯屬性”的復(fù)選框，取消對它的默認勾選，點“完成”。這樣在“本地安全設(shè)置”對話框右邊的名稱標簽欄下的列表中就能看到咱們新建的、自己定義的“我的IP安全策略”了。輸入名稱，點擊下一步取消默認取消默認2、選中它，點操作菜單，點“屬性”；或右擊它點“屬性”；或雙擊打開它，出來“我的IP安全策略屬性”對話框。里面有兩個標簽：“規(guī)則”和“常規(guī)”。我們只對“規(guī)則”做操作。在“規(guī)則”下只有一個“IP安全規(guī)則”文本框，同

11、樣這里不能直接輸入，點下面的“添加”按鈕，出來“新規(guī)則屬性”對話框，里面有五個標簽，我們需要操作的是“IP篩選器列表”和“篩選器操作”標簽。選擇“IP篩選器列表”標簽，在“IP篩選器列表”文本框中能看到剛才創(chuàng)建“病毒常駐端口”等篩選器了。取消點選“添加向?qū)А?、選擇第一個或最后一個（因為每次只能添加一個，這樣方便下面依次操作），為方便表述，咱們假設(shè)選擇“病毒常駐端口”。這里的“選擇”，指的是在篩選器前面的復(fù)選圈中點上小黑點，這樣就“選擇”上了。4、選擇上后，不做任何操作，轉(zhuǎn)而選擇“篩選器操作”標簽，這里有個“篩選器操作”列表框，我們要到這里去選擇“阻止”。通常這里沒有“阻止”，這就需要添加。點

12、列表框下的“添加”按鈕，出來“新篩選器操作屬性”對話框，下面有兩個標簽，“安全措施”和“常規(guī)”。在“安全措施”下找到“阻止”，在它前面的復(fù)選框中點上黑點，再選擇“常規(guī)”標簽，把“名稱”下文本框中默認的“新篩選器操作”改為“阻止”。點“確定”，自動返回到“篩選器操作”標簽，這下在“篩選器操作”列表框中看到“阻止”了，把它前面的復(fù)選圈中點上黑點（選中它），點“確定”。5、點“確定”后，自然返回到“我的IP安全策略”對話框，這下在“IP安全規(guī)則”下的“IP篩選器列表”下就能看到剛才添加上的“篩選器操作”為阻止的篩選器了。七、如法炮制，完成對“IP篩選器列表”中所有篩選器的添加：返回“六”“2”的步驟

13、，事實上只要不停電，或沒有關(guān)閉窗口，目前應(yīng)該就在這一步，點“IP安全規(guī)則”列表框下的“添加”按鈕，把“IP篩選器列表”中所有的，事實上也是我們剛才做的篩選器逐一、全部添加進去。八、指派“我的IP安全策略”：上面的工作完成后，回到“本地安全設(shè)置”對話框，在右邊的名稱標簽欄下找到“我的IP安全策略”，選中它，到“操作”菜單或右擊它，選擇“指派”。至此大功告成！附：要做的篩選器病毒常駐端口：（UDP）1026 69 （TCP）135 443 4444 打印與共享端口：（UDP）137 138 （TCP）139 445 木馬入端口：木馬入1 （TCP）1433 10067 10167 12345 12

14、346 20034 26274 3129 3389 3700 30100-30102 31337 31785 31787-31789 31791 31792 40421-40425 47262 5321 5400-5402 5569 54320 54321 666 6400 6969 6970 7300 7626 9872-9875 9989 木馬入2 （TCP）143 1001 1011 1025 1033 1170 1234 1243 1429 1600 1807 1981 1999 11000 11223 12076 12223 12361 16969 19191 21 23 25 20

15、00 2001 2003 2115 2140 2583 2801 20000 20001 21554 22222 23456 27374 31 3024 3128 3150 3210 3333 3996 30303 30999 31338木馬入3 （TCP）31339 31666 33333 34324 456 4060 4092 4321 4590 40412 40426 43210 44445 555 5000 5550 5632 5742 50766 53001 6267 6670 6671 6711 6776 6883 61466 65000 79 7000 7301 7306 730

16、7 7308 7789 80 99 9400 9401 9402 其它入（UDP）139 1433 445 53 （TCP）113 121 1029 1068 1080 1092 2023 20168 23444 23445 30129 4899 4950 43958 45576 53 520 5001 5554 5800 5900 50505 660 6000 6129 6771 6939 707 7511 808 8011 8102 8888 9995 9996 木馬出端口：木馬出1 （TCP）1433 10067 10167 12345 12346 20034 26274 3129 33

17、89 3700 30100-30102 31337 31785 31787-31789 31791 31792 40421-40425 47262 5321 5400-5402 5569 54320 54321 666 6400 6969 6970 7300 7626 9872-9875 9989 木馬出2 （TCP）19 143 1001 1011 1025 1033 1170 1234 1243 1429 1600 1807 1981 1999 11000 11223 12076 12223 12361 16969 19191 21 25 2000 2001 2003 2115 2140 2583 2801 20000 20001 21554 22222 23456 27374 31 3024 3128 3150