网络上的木马病毒和黑客是越来越多,防火墙成了朋友们的必需品,但要在系统内加入第三方软件,总有些不大乐意,殊不知,微软早在Windows 2000时,就在IPSec中加入了IP Filter。
以后更改规则后,请在开始-运行中输入“gpupdate”更新一下设置。
我们辛辛苦苦设置的策略,怎么能够备份下来呢?也很简单,在“IP安全策略,在本地计算机”上单击右健,选择“所有任务”-“导出策略”,就可以进行备份了。同样的,可以使用“导入备份”恢复。
注意事项
1. IPSec中的IP Filter,并不能对ICMP进行很好的处理(无法过滤/保留特定内容,只能屏蔽或者阻止),如果对这方面有要求,可以使用Routing amp; Remote Access来处理(在Server以上版本才有),这里就不说了。
2. 另外还有一个利用IP Filter的方法,进入你使用的网卡本地连接属性,选择TCP/IP协议->高级->选项->TCP/IP筛选进行设置。这里有三个过滤器,分别为:TCP端口、UDP端口和IP协议。但是这里的过滤处理比较简单,适合纯粹的服务器应用,而且不能屏蔽IP地址,功能不如前面所述。
用IP Filter屏蔽特定端口
前面的操作是屏蔽 IP 地址,下面说说如何关闭本机的端口,以常见的139为例。
还是以上的步骤,建立一个名为Port 139的IP 筛选器规则,然后结合我们刚才添加的阻止动作进行设置。使用同样的道理,也可以关闭其他端口。
下面还是演示一下如何建立Port 139的IP筛选器规则。
应用IP安全策略规则
上面我们建立了安全策略规则,那怎么使用他们呢?很简单!只需在我们刚才建立的安全策略规则上单击右健,选择“指派”即可。
添加IP筛选器动作
在上面的操作中,我们将flashfxp的自动更新地址和一个虚拟的C类网段加入了“待屏蔽 IP 列表”,但它只是一个列表,没有防火墙的功能,只有再加入动作后,才能够发挥作用。下面,我们就来建立一个“阻止”动作,通过动作与刚才的列表结合,就可以屏蔽特定的IP地址。
创建IP安全策略
筛选器表和筛选器动作都建立完毕,现在是该将他们结合起来发挥作用的时间了。
现在回到IP安全策略主界面,和刚才一样在“IP安全策略,在本地计算机”上单击右健,不过这次选择的是“创建IP安全策略”,按照下图进行操作。
接下来,修改此策略的属性,用我们刚才的筛选器表和筛选器动作,建立规则。
添加IP筛选器表
可以看到,有边有三个默认的安全规则,不要去管它,而是选中左边的“IP安全策略,在本地计算机”,单击右健选择“管理IP筛选器表和筛选器操作”。
在弹出的窗口中单击“添加”,添加“新 IP 筛选器列表”,在这里输入此IP筛选器的名称和描述。
我们先来添加一个待屏蔽的地址列表,只需要在此窗口中点击添加即可,这里不使用“添加向导”。
接下来的窗口里面,第一个页面是选择IP地址,设定的方法有五种,如下图所示。很容易明白,就不再解说了。
默认情况下,IP Filter的作用是单方面的,比如源地址为A,目标地址为 B,则防火墙只对A->B的流量起作用,对B->A的流量则略过不计。选中镜像,则防火墙对A<->B的双向流量都进行处理(相当于一次添加了两条规则)。
网络上的木马病毒和黑客是越来越多,防火墙成了朋友们的必需品,但要在系统内加入第三方软件,总有些不大乐意,殊不知,微软早在Windows 2000时,就在IPSec中加入了IP Filter,通过它,我们完全可以自己构建一个简易的防火墙。
IP Filter的工作原理很简单,当电脑通过网络接收到一个IP数据包时,首先交给IP Filter,然后IP Filter分析其头部,与规则表进行匹配。当找到一个相匹配的规则时,IP Filter就按照该规则制定的方法对接收到的IP数据包进行处理。这里的处理工作只有两种:丢弃或转发,这也决定了我们只能通过IP Filter构建简易防火墙。
下面就介绍如何用IP Filter构建防火墙,实现常用防火墙的部分功能。
首先,是确保IPSec Services服务打开,该项服务可以在Windows 2000全系列/XP Pro/.Net Server中找到,注意,XP HOME不支持该功能。
接下来,在开始运行中输入mmc,选择菜单“文件-添加/删除管理单元”,在弹出的窗口中按下“添加”按钮,选中“IP安全策略管理”,进行“添加”。然后使用默认选择,即“本地计算机”,一系列确定后添加完毕。
您也可以直接在开始-运行中输入“secpol.msc”,选择选择“IP安全策略,在本地计算机”。
京公网安备 11010802021500号