商业源码服务器教程 2023-11-29 14:25:02

如何定义一条阻止任何IP地址从TCP139和TCP445端口访问IP地址的IPSec安全策略规则？

第一步，点击“开始”菜单/设置/控制面板/管理工具，双击打开“本地安全策略”，选中“IP 安全策略，在本地计算机”，在右边窗格的空白位置右击鼠标，弹出快捷菜单，选择“创建 IP 安全策略”，于是弹出一个向导。在向导中点击“下一步”按钮，为新的安全策略命名；再按“下一步”，则显示“安全通信请求”画面，在画面上把“激活默认相应规则”左边的钩去掉，点击“完成”按钮就创建了一个新的IP 安全策略。

第二步，右击该IP安全策略，在“属性”对话框中，把“使用添加向导”左边的钩去掉，然后单击“添加”按钮添加新的规则，随后弹出“新规则属性”对话框，在画面上点击“添加”按钮，弹出IP筛选器列表窗口；在列表中，首先把“使用添加向导”左边的钩去掉，然后再点击右边的“添加”按钮添加新的筛选器。

第三步，进入“筛选器属性”对话框，首先看到的是寻址，源地址选“任何 IP 地址”，目标地址选“我的 IP 地址”；点击“协议”选项卡，在“选择协议类型”的下拉列表中选择“TCP”，然后在“到此端口”下的文本框中输入“135”，点击“确定”按钮，这样就添加了一个屏蔽 TCP 135（RPC）端口的筛选器，它可以防止外界通过135端口连上你的电脑。

点击“确定”后回到筛选器列表的对话框，可以看到已经添加了一条策略，重复以上步骤继续添加 TCP 137、139、445、593 端口和 UDP 135、139、445 端口，为它们建立相应的筛选器。

重复以上步骤添加TCP 1025、2745、3127、6129、3389 端口的屏蔽策略，建立好上述端口的筛选器，最后点击“确定”按钮。

第四步，在“新规则属性”对话框中，选择“新 IP 筛选器列表”，然后点击其左边的圆圈上加一个点，表示已经激活，最后点击“筛选器操作”选项卡。在“筛选器操作”选项卡中，把“使用添加向导”左边的钩去掉，点击“添加”按钮，添加“阻止”操作：在“新筛选器操作属性”的“安全措施”选项卡中，选择“阻止”，然后点击“确定”按钮。

第五步、进入“新规则属性”对话框，点击“新筛选器操作”，其左边的圆圈会加了一个点，表示已经激活，点击“关闭”按钮，关闭对话框；最后回到“新IP安全策略属性”对话框，在“新的IP筛选器列表”左边打钩，按“确定”按钮关闭对话框。在“本地安全策略”窗口，用鼠标右击新添加的 IP 安全策略，然后选择“指派”。

于是重新启动后，电脑中上述网络端口就被关闭了，病毒和黑客再也不能连上这些端口，从而保护了

如何启用本地IPSec安全策略

方法一：利用MMC控制台

第一步：点击“开始→运行”，在运行对话框中输入“MMC”，点击“确定”按钮后，启动“控制台”窗口。

第二步：点击“控制台”菜单中的“文件→添加/删除管理单元”选项，弹出“添加/删除管理单元”对话框，点击“独立”标签页的“添加”按钮，弹出“添加独立管理单元”对话框。

第三步：在列表框中选择“IP安全策略管理”点击“添加”按钮，在“选择计算机”对话框中，选择“本地计算机”，最后点击“完成”。这样就在“MMC控制台”启用了IPSec安全策略。

方法二：利用本地安全策略

进入“控制面板→管理工具”选项，运行“本地安全设置”选项，在“本地安全设置”窗口中展开“安全设置”选项，就可以找到“IP安全策略，在本地计算机”。

IPSec安全策略的组成

为了增强网络通信安全或对客户机器的管理，网络管理员可以通过在Windows系统中定义IPSec安全策略来实现。一个IPSec安全策略由IP筛选器和筛选器操作两部分构成，其中IP筛选器决定哪些报文应当引起IPSec安全策略的关注，筛选器操作是指“允许”还是“拒绝”报文的通过。要新建一个IPSec安全策略，一般需要新建IP筛选器和筛选器操作。

PSec安全策略应用实例

目的：阻止局域网中IP为“19216802”的机器访问Windows2003终端服务器。

很多服务器都开通了终端服务，除了使用用户权限控制访问外，还可以创建IPSec安全策略进行限制。

第一步：在Windows

2003服务器的IP安全策略主窗口中，右键点击“IP安全策略，在本地计算机”，选择“创建IP安全策略”选项，进入“IP安全策略向导”，点击“下一步”，在“IP安全策略”名称对话框中输入该策略的名字如“终端服务过滤”，点击“下一步”，下面弹出的对话框都选择默认值，最后点击“完成”按钮。

第二步：为该策略创建一个筛选器。右键点击“IP安全策略，在本地计算机”，在菜单中选择“管理IP筛选器表和筛选器操作”，切换到“管理IP筛选器列表”标签页，点击下方的“添加”，弹出的“IP筛选器列表”对话框，在“名称”输入框中输入“终端服务”，点击“添加”，进入“IP筛选器向导”窗口，点击“下一步”，在“源地址”下拉列表框中选择“一个特定IP地址”，然后输入该客户机的IP地址和子网掩码，如“19216802”。点击“下一步”后，在“目标地址”下拉列表框中选择“我的IP地址”，点击“下一步”，接着在“选择协议类型”中选择“TCP”协议，点击“下一步”，接着在协议端口中选择“从任意端口，到此端口”，在输入框中填入“3389”，点击“下一步”后完成筛选器的创建。

第三步：新建一个阻止操作。切换到“筛选器操作”标签页，点击“添加”按钮，进入到“IP安全筛选器操作向导”，点击“下一步”，给这个操作起一个名字，如“阻止”，点击“下一步”，接着设置“筛选器操作的行为”，选择“阻止”单选项，点击“下一步”，就完成了“IP安全筛选器操作”的添加工作。最后在IP安全策略主窗口中，双击第一步建立的“终端服务过滤”安全策略，点击“添加”按钮，进入“创建IP安全规则向导”，点击“下一步”，选择“此规则不指定隧道”，点击“下一步”，在网络类型对话框中选择“局域网”，点击“下一步”，在接下来对话框中选择默认值，点击“下一步”，在IP筛选器列表中选择“终端服务”选项，点击“下一步”，接着在筛选器操作列表中选择“阻止”，最后点击“完成”。

完成了创建IPSec安全策略后，还要进行指派，右键单击“终端服务过滤”，在弹出的菜单中选择“指派”，这样就启用了该IPSec安全策略。局域网中IP为“19216802”的机器就不能访问Windows

2003终端服务器了。

Windows系统的IPSec安全策略也存在不足，一台机器同时只能有一个策略被指派。

1首先用组合键“windows+r”调用运行。windows键指的是键盘上的一个旗帜一样的符号

然后在运行中输入“secpolmsc”，注意中间的点

3可以看到，我们打开了安全策略，里面也有ip安全策略。这时候就可以打开策略并配置电脑的安全性了

分类: 电脑/网络 >> 互联网

问题描述:

1、在XP专业管理工具中，有一个本地安全策略，其中有一项是IP安全策略中有三个选项：安全服务器；客户端；服务器，请解释一下，这三项各自什么功能？2、关于A记录的问题，查了查网上有关资料。好象有二种方法：第一种是在DNS提供服务的网页上设置A记录；第二种如果不在那里设置，那么要在自已架设的DNS服务器上设置A记录。请教是不是这样的？另外域名注册与这个A记录没有多少关系吧？

解析:

1、这三个项目是典型安全策略的示例，代表了不同的安全级别，从高到低依次是安全服务器、服务器和客户端，即只与建立了安全连接的计算机通讯、尽量建立安全连接进行通讯和不安全通讯。

2、这种方法的区别其实是域名注册时，注册商是否提供DNS解析的区别。如果提供DNS解析，那么一般会有一个网页给你设置各种记录和信息，如果没有提供解析，那么就需要你另外寻找DNS服务商，或者自建一个DNS服务器，而我们自建的服务器就可以直接在DNS服务器上设置了。

3、只提供内网访问的域名需要在内网的DNS服务器上进行注册，这样内网的计算机才能正常访问，如果没有DNS服务器，那么可以在每个内网计算机的host文件中设置域名和ip地址的对应关系。

习惯上是专指web服务的二级域名，但是这不是绝对，很多域名管理者为了方便那些不习惯打的用户也将一级域名作和二级域名同样的解析操作，防止用户使用一级域名无法访问网站。

4、客户计算机和DNS服务器的通信要用到TCP53和UDP53端口，而常用的域名查询都是使用UDP53端口，而UDP又是无连接协议，所以在你的计算机上用stat -an是看不到连接的，但是在路由器的NAT转换或者防火墙中就可以看到了。

网络执法官使用的ARP欺骗广播来使计算机下线，如果使用的是UDP端口，那么又是“看不见”的了。

利用组策略里的IP安全设置可以达到楼主的要求

为了说明,我告诉一下我的设置

我的电脑IP

1921680100

路由器

19216801

我通过如何阻止

我和路由器之间的相互PING来演示操作过程

首先

打开组策略

进入计算机配置里面的安全设置,点里面的IP安全策略

创建新的IP策略

下一步

随便输入名称

我就用

"阻止"

然后点

下一步

激活默认响应规则打勾

下一步

验证方法选第一个

V5协议

可能会有个警告,直接确定就好了

编辑属性打勾

完成

回到原来的界面,点新建的名称

"阻止"

他会出来个属性窗口

点击添加

下一步

不指定隧道

下一步

所有网络连结

下一步

V5协议

下一步

这时候应该是个安全规则向导界面

点添加

出来IP筛选列表

点添加

下一步

源地址用我的IP地址

下一步

目标IP地址

用一个特定的IP地址,然后输入你想阻止的IP地址

我这里用19216801

下一步

协议,针对你的游戏服务器用的通讯协议,自己选择,一般都是TCP

我这里使用ICMP

下一步

编辑属性打勾

下一步

出来筛选器属性

镜像一定要打勾,这样就能屏蔽远程IP了

然后点确定

回到了IP筛选器列表,点确定

点你刚刚建立的IP筛选器,如果上面没有命名,那么她的名字应该是

新的IP筛选器列表,点上圈圈下一步,进入筛选器操作

点阻止,下一步

完成

新规则属性

不用搞,只要点确定然后点关闭

现在回到原来的组策略界面

右键点我们刚刚建立的

名称为阻止

,选择指配

这时候,它的策略已指配

变成

是了

我这边现在PING

19216801

已经显示

C:\Documents

and

Settings\Administrator>ping

19216801

Pinging

19216801

with

bytes

data:

Destination

host

unreachable

Destination

host

unreachable

Destination

host

unreachable

Destination

host

unreachable

Ping

statistics

for

19216801:

Packets:

Sent

Received

Lost

(100%

loss),

然后我们试试右键点击

阻止,选择

不指配

C:\Documents

and

Settings\Administrator>ping

19216801

Pinging

19216801

with

bytes

data:

from

19216801:

bytes=32

time=1ms

TTL=127

from

19216801:

bytes=32

time=1ms

TTL=127

from

19216801:

bytes=32

time=2ms

TTL=127

from

19216801:

bytes=32

time=1ms

TTL=127

Ping

statistics

for

19216801:

Packets:

Sent

Received

Lost

(0%

loss),

Approximate

round

trip

times

milli-seconds:

Minimum

1ms,

Maximum

2ms,

Average

1ms

很明显,策略已经成功达到我们要的效果了

打的我好累

恩,再次提醒,上面中的那个镜像一定要选择

不然就是我不能PING通路由器

路由器能PNG通我了

镜像的作用是双向禁止

按照上面的操作,我想楼主应该能达到自己要求的效果了

不过如果对方是动态IP,以上操作就没什么用了

以上

IP安全策略是一个给予通讯分析的策略，它将通讯内容与设定好的规则进行比较以判断通讯是否与预期相吻合，然后决定是允许还是拒绝通讯的传输，它弥补了传统TCP/IP设计上的"随意信任"重大安全漏洞，可以实现更仔细更精确的TCP/IP安全，也就是说，当我们配置好IP安全策略后，就相当于拥有了一个免费，但功能完善的个人防火墙。

http://baikebaiducom/view/2698813htmltp=1_01