用Windows的ipsec 防DDos

　　环境：windows2003 企业版，ip：211.93.*.*　　　

　　1.打开管理工具……本地安全策略……右键ip安全策略，在 本地计算机……创建ip安全策略……右键管理ip筛选器表和筛选器操作……选管理筛选器操作栏，单击添加，筛选器操作名称，（我们这里在名称里填入拒决）后下一步，会出现在一个设置筛选操作常规选项选阻止，后单击下一步，至完成，然后关闭。　　

　　2.右键ip安全策略，在 本地计算机……创建ip安全策略在出现的ip安全策略向导中，下一 步出现一个ip安全策略名称。在名称写入策略名（这里我填入cutip）描述可写可不写，下一点，会出现一个安全通讯请求，去掉激活默认响应规则，下一步，到完成。　　

　　3.在出现的ip安全规则……添加……下一步 ，会出现隧道终结点，选默认此规则不指定隧道，单击下一步，在网络类型中选则所有网络连接，单击下一步会出现ip 筛选器列表 ，点添加，出现一个筛选名称，描述等（在这里我填入cutip) 后单击添加……下一步，这里会出现ip筛选描述和镜像属性对话框，描述随意写了，但重要的是要把镜像。与源地址和目标地址正好相反的数据包相匹配这项去掉。（为了安全，我们要正向和反向的包同时检验）。　　

　　最重要的地方到了，在出现的ip通信源里 源地址（要防的地址）在这里我们这拿一个ip试吧！如果你发现211.93.109.1 对本例中的211.93.*.* 发起Ddos ，在源地址选……一个特定的ip地址……ip地址填入211.93.109.1，单击下一步，会出现目标地址。选我的ip地址，

　　后下一步，在出现ip协议类型中选任意，单击下一步，然后确定。这时会回到ip筛选器列表，选其刚才我们新建的（本例中是cutip)，后下一步。这时会出现筛选器操作，这里选的是在刚开始时建的那个筛选器的操作，（这里是拒决）单击一步，最后至完成，确定。 　　

　　4.最后。我们需要把新建的那个ip安全策略指派了，就可以了。