由於 IP 協議在設計之初並沒過多的考慮安全問題,因此在早期的網絡中經常發生網絡***或機密數據被竊等問題,爲了增強網絡的安全性,IP 安全協議(IPSec)應運而生。IP 安全策略即爲 IPSec 策略,是 Windows 中用來配置 IPSec 安全的一項服務。這些策略設置可爲多數現有網絡中的多數通信類型提供多種級別的保護。IP安全策略可以滿足計算機、應用程序、組織單位、域、站點或全局企業的安全需要。
一個 IP 安全策略由“ IP 篩選器”和“篩選器操作”兩部分構成,要新建一個IPSec安全策略,一般需要新建IP 篩選器和篩選器操作。其中,IP 篩選器決定了哪些報文應當引起 IP 安全策略的關注;篩選器操作是指“允許”還是“拒絕”報文的通過。
本文將以簡單的 IP 安全策略配置示例爲例,說明如何在 Windows 中使用 IP 安全策略保障網絡安全。
啓用 IP 安全策略
方法一:使用 MMC 控制檯
第一步:打開開始菜單,打開“運行”或直接在開始菜單中輸入“MMC”,點擊“確定”按鈕後,啓動“控制檯”。
第二步:點擊“控制檯”菜單中的“文件 → 添加/刪除管理單元”選項,彈出“添加/刪除管理單元”對話框,點擊“獨立”標籤頁的“添加”按鈕,彈出“添加獨立管理單元”對話框。
第三步:在列表框中選擇“IP安全策略管理”(如圖2),點擊“添加”按鈕,在“選擇計算機”對話框中,選擇“本地計算機”,最後點擊“完成”。這樣就在“MMC控制檯”啓用了IPSec安全策略。
方法二:利用本地安全策略
進入“控制面板 → 管理工具”選項,運行“本地安全設置”選項,在“本地安全設置”窗口中展開“安全設置”選項,就可以找到“IP安全策略,在本地計算機”。
阻止 Ping 的實現過程
在 MMC 窗口中的“IP 安全策略”節點上點擊右鍵,點選“創建 IP 安全策略”:
在彈出的“IP 安全策略嚮導”窗口中點擊下一步,編輯 IP 安全策略名稱和描述:
點擊下一步,在“安全通訊請求”的設置中保持默認狀態,即:不勾選激活默認相應規則。繼續下一步。勾選“編輯屬性”,點擊完成。
這時,彈出了剛纔創建的 IP 安全策略條目的屬性窗口:
在該屬性窗口中,我們點擊“規則”選項卡中的“添加”按鈕,彈出“創建 IP 安全規則嚮導”,點擊下一步,在“IP 安全規則的隧道終結點”設置中保持默認:
點擊下一步,在“網絡類型”設置中選擇“所有網絡連接”:
點擊下一步,在“IP 篩選器列表”中點擊右側的“添加”按鈕,添加一個新的篩選器,新篩選器的名稱和描述自定義輸入:
點擊右側的“添加”按鈕,進入“IP 篩選器創建嚮導”,開始編輯需要篩選的 IP 地址,點擊下一步,自定義輸入該 IP 篩選器的描述:
點擊下一步,在“源地址”處選擇“任何 IP 地址”,點擊下一步,在“目標地址”處選擇“任何 IP 地址”,點擊下一步,設置需要篩選的 IP 協議類型,因爲 Ping 是通過 ICMP 協議來實現的,此處我們選擇“ICMP”:
點擊下一步,點擊完成。此時,返回到了 IP 篩選器的列表中,在該列表中已經出現了我們之前創建的 IP 篩選器,我們選擇上剛纔創建的 IP 篩選器:
點擊確定之後返回到了之前規則設置中的 IP 篩選器列表選擇窗口,此處我們選定剛纔創建的 IP 篩選器:
點擊下一步,添加一個篩選器操作:
點擊右側“添加”,在“IP 安全篩選器嚮導”中點擊下一步,自定義輸入篩選器操作的名稱和描述:
點擊下一步,在篩選器應用的操作中選擇“阻止”:
點擊下一步,點擊完成。
在篩選器操作中選擇剛纔創建的篩選器操作:
點擊下一步,點擊完成。
此時就完成了一個 IP 安全策略的全部配置,在屬性窗口中點擊確定。
爲了進行對比,我們先在 CMD 中 Ping 本機 IP 地址:
可以 Ping 通,說明本地的網絡狀態正常。
返回到 MMC 控制檯窗口,在新創建的 IP 安全策略上點擊右鍵,點選“分配”:
此時該策略狀態已變爲“已指派”。
我們再次回到 CMD 中 Ping 本地地址:
此時 Ping 命令已出現報錯“一般故障”。