使用IP安全策略阻止Ping

使用IP安全策略阻止Ping由于IP协议在设计之初并没过多的考虑安全问题，因此在早期的网络中经常发生网络攻击或机密数据被窃等问题，为了增强网络的安全性，IP安全协议（IPSec）应运而生。IP安全策略即为IPSec策略，是Windows中用来配置IPSec安全的一项服务。这些策略设置可为多数现有网络中的多数通信类型提供多种级别的保护。IP安全策略可以满足计算机、应用程序、组织单位、域、站点或全局企业的安全需要。一个IP安全策略由“IP筛选器”和“筛选器操作”两部分构成，要新建一个IPSec安全策略，一般需要新建IP筛选器和筛选器操作。其中，IP筛选器决定了哪些报文应当引起IP安全策略的关注；筛选器操作是指“允许”还是“拒绝”报文的通过。本文将以简单的IP安全策略配置示例为例，说明如何在Windows中使用IP安全策略保障网络安全。启用IP安全策略方法一：使用MMC控制台第一步：打开开始菜单，打开“运行”或直接在开始菜单中输入“MMC”，点击“确定”按钮后，启动“控制台”。第二步：点击“控制台”菜单中的“文件→添加/删除管理单元”选项，弹出“添加/删除管理单元”对话框，点击“独立”标签页的“添加”按钮，弹出“添加独立管理单元”对话框。第三步：在列表框中选择“IP安全策略管理”（如图2），点击“添加”按钮，在“选择计算机”对话框中，选择“本地计算机”，最后点击“完成”。这样就在“MMC控制台”启用了IPSec安全策略。方法二：利用本地安全策略进入“控制面板→管理工具”选项，运行“本地安全设置”选项，在“本地安全设置”窗口中展开“安全设置”选项，就可以找到“IP安全策略，在本地计算机”。阻止Ping的实现过程在MMC窗口中的“IP安全策略”节点上点击右键，点选“创建IP安全策略”：在弹出的“IP安全策略向导”窗口中点击下一步，编辑IP安全策略名称和描述：点击下一步，在“安全通讯请求”的设置中保持默认状态，即：不勾选激活默认相应规则。继续下一步。勾选“编辑属性”，点击完成。这时，弹出了刚才创建的IP安全策略条目的属性窗口：在该属性窗口中，我们点击“规则”选项卡中的“添加”按钮，弹出“创建IP安全规则向导”，点击下一步，在“IP安全规则的隧道终结点”设置中保持默认：点击下一步，在“网络类型”设置中选择“所有网络连接”：点击下一步，在“IP筛选器列表”中点击右侧的“添加”按钮，添加一个新的筛选器，新筛选器的名称和描述自定义输入：点击右侧的“添加”按钮，进入“IP筛选器创建向导”，开始编辑需要筛选的IP地址，点击下一步，自定义输入该IP筛选器的描述：点击下一步，在“源地址”处选择“任何IP地址”，点击下一步，在“目标地址”处选择“任何IP地址”，点击下一步，设置需要筛选的IP协议类型，因为Ping是通过ICMP协议来实现的，此处我们选择“ICMP”：点击下一步，点击完成。此时，返回到了IP筛选器的列表中，在该列表中已经出现了我们之前创建的IP筛选器，我们选择上刚才创建的IP筛选器：点击确定之后返回到了之前规则设置中的IP筛选器列表选择窗口，此处我们选定刚才创建的IP筛选器：点击下一步，添加一个筛选器操作：点击右侧“添加”，在“IP安全筛选器向导”中点击下一步，自定义输入筛选器操作的名称和描述：点击下一步，在筛选器应用的操作中选择“阻止”：点击下一步，点击完成。在筛选器操作中选择刚才创建的筛选器操作：点击下一步，点击完成。此时就完成了一个IP安全策略的全部配置，在属性窗口中点击确定。为了进行对比，我们先在CMD中Ping本机IP地址：可以Ping通，说明本地的网络状态正常。返回到MMC控制台窗口，在新创建的IP安全策略上点击右键，点选“分配”：此时该策略状态已变为“已指派”。我们再次回到CMD中Ping本地地址：此时Ping命令已出现报错“一般故障”。