由于 IP 协议在设计之初并没过多的考虑安全问题,因此在早期的网络中经常发生网络攻击或机密数据被窃等问题,为了增强网络的安全性,IP 安全协议(IPSec)应运而生。IP 安全策略即为 IPSec 策略,是 Windows 中用来配置 IPSec 安全的一项服务。这些策略设置可为多数现有网络中的多数通信类型提供多种级别的保护。IP安全策略可以满足计算机、应用程序、组织单位、域、站点或全局企业的安全需要。
一个 IP 安全策略由“ IP 筛选器”和“筛选器操作”两部分构成,要新建一个IPSec安全策略,一般需要新建IP 筛选器和筛选器操作。其中,IP 筛选器决定了哪些报文应当引起 IP 安全策略的关注;筛选器操作是指“允许”还是“拒绝”报文的通过。
本文将以简单的 IP 安全策略配置示例为例,说明如何在 Windows 中使用 IP 安全策略保障网络安全。
启用 IP 安全策略
方法一:使用 MMC 控制台
第一步:打开开始菜单,打开“运行”或直接在开始菜单中输入“MMC”,点击“确定”按钮后,启动“控制台”。
第二步:点击“控制台”菜单中的“文件 → 添加/删除管理单元”选项,弹出“添加/删除管理单元”对话框,点击“独立”标签页的“添加”按钮,弹出“添加独立管理单元”对话框。
第三步:在列表框中选择“IP安全策略管理”(如图2),点击“添加”按钮,在“选择计算机”对话框中,选择“本地计算机”,最后点击“完成”。这样就在“MMC控制台”启用了IPSec安全策略。
方法二:利用本地安全策略
进入“控制面板 → 管理工具”选项,运行“本地安全设置”选项,在“本地安全设置”窗口中展开“安全设置”选项,就可以找到“IP安全策略,在本地计算机”。
阻止 Ping 的实现过程
在 MMC 窗口中的“IP 安全策略”节点上点击右键,点选“创建 IP 安全策略”:
在弹出的“IP 安全策略向导”窗口中点击下一步,编辑 IP 安全策略名称和描述:
点击下一步,在“安全通讯请求”的设置中保持默认状态,即:不勾选激活默认相应规则。继续下一步。勾选“编辑属性”,点击完成。
这时,弹出了刚才创建的 IP 安全策略条目的属性窗口:
在该属性窗口中,我们点击“规则”选项卡中的“添加”按钮,弹出“创建 IP 安全规则向导”,点击下一步,在“IP 安全规则的隧道终结点”设置中保持默认:
点击下一步,在“网络类型”设置中选择“所有网络连接”:
点击下一步,在“IP 筛选器列表”中点击右侧的“添加”按钮,添加一个新的筛选器,新筛选器的名称和描述自定义输入:
点击右侧的“添加”按钮,进入“IP 筛选器创建向导”,开始编辑需要筛选的 IP 地址,点击下一步,自定义输入该 IP 筛选器的描述:
点击下一步,在“源地址”处选择“任何 IP 地址”,点击下一步,在“目标地址”处选择“任何 IP 地址”,点击下一步,设置需要筛选的 IP 协议类型,因为 Ping 是通过 ICMP 协议来实现的,此处我们选择“ICMP”:
点击下一步,点击完成。此时,返回到了 IP 筛选器的列表中,在该列表中已经出现了我们之前创建的 IP 筛选器,我们选择上刚才创建的 IP 筛选器:
点击确定之后返回到了之前规则设置中的 IP 筛选器列表选择窗口,此处我们选定刚才创建的 IP 筛选器:
点击下一步,添加一个筛选器操作:
点击右侧“添加”,在“IP 安全筛选器向导”中点击下一步,自定义输入筛选器操作的名称和描述:
点击下一步,在筛选器应用的操作中选择“阻止”:
点击下一步,点击完成。
在筛选器操作中选择刚才创建的筛选器操作:
点击下一步,点击完成。
此时就完成了一个 IP 安全策略的全部配置,在属性窗口中点击确定。
为了进行对比,我们先在 CMD 中 Ping 本机 IP 地址:
可以 Ping 通,说明本地的网络状态正常。
返回到 MMC 控制台窗口,在新创建的 IP 安全策略上点击右键,点选“分配”:
此时该策略状态已变为“已指派”。
我们再次回到 CMD 中 Ping 本地地址:
此时 Ping 命令已出现报错“一般故障”。
本文转自melvillo 51CTO博客,原文链接:http://blog.51cto.com/marui/387476,如需转载请自行联系原作者
