使用IP安全策略阻止Ping

因爲 IP 協議在設計之初並沒過多的考慮安全問題，所以在早期的網絡中常常發生網絡***或機密數據被竊等問題，爲了加強網絡的安全性，IP 安全協議（IPSec）應運而生。IP 安全策略即爲 IPSec 策略，是 Windows 中用來配置 IPSec 安全的一項服務。這些策略設置可爲多數現有網絡中的多數通訊類型提供多種級別的保護。IP安全策略能夠知足計算機、應用程序、組織單位、域、站點或全局企業的安全須要。

一個 IP 安全策略由「 IP 篩選器」和「篩選器操做」兩部分構成，要新建一個IPSec安全策略，通常須要新建IP 篩選器和篩選器操做。其中，IP 篩選器決定了哪些報文應當引發 IP 安全策略的關注；篩選器操做是指「容許」仍是「拒絕」報文的經過。

本文將以簡單的 IP 安全策略配置示例爲例，說明如何在 Windows 中使用 IP 安全策略保障網絡安全。

啓用 IP 安全策略

方法一：使用 MMC 控制檯

第一步：打開開始菜單，打開「運行」或直接在開始菜單中輸入「MMC」，點擊「肯定」按鈕後，啓動「控制檯」。

第二步：點擊「控制檯」菜單中的「文件 → 添加/刪除管理單元」選項，彈出「添加/刪除管理單元」對話框，點擊「獨立」標籤頁的「添加」按鈕，彈出「添加獨立管理單元」對話框。

第三步：在列表框中選擇「IP安全策略管理」（如圖2），點擊「添加」按鈕，在「選擇計算機」對話框中，選擇「本地計算機」，最後點擊「完成」。這樣就在「MMC控制檯」啓用了IPSec安全策略。

方法二：利用本地安全策略

進入「控制面板 → 管理工具」選項，運行「本地安全設置」選項，在「本地安全設置」窗口中展開「安全設置」選項，就能夠找到「IP安全策略，在本地計算機」。

阻止 Ping 的實現過程

在 MMC 窗口中的「IP 安全策略」節點上點擊右鍵，點選「建立 IP 安全策略」：

在彈出的「IP 安全策略嚮導」窗口中點擊下一步，編輯 IP 安全策略名稱和描述：

點擊下一步，在「安全通信請求」的設置中保持默認狀態，即：不勾選激活默認相應規則。繼續下一步。勾選「編輯屬性」，點擊完成。

這時，彈出了剛纔建立的 IP 安全策略條目的屬性窗口：

在該屬性窗口中，咱們點擊「規則」選項卡中的「添加」按鈕，彈出「建立 IP 安全規則嚮導」，點擊下一步，在「IP 安全規則的隧道終結點」設置中保持默認：

點擊下一步，在「網絡類型」設置中選擇「全部網絡鏈接」：

點擊下一步，在「IP 篩選器列表」中點擊右側的「添加」按鈕，添加一個新的篩選器，新篩選器的名稱和描述自定義輸入：

點擊右側的「添加」按鈕，進入「IP 篩選器建立嚮導」，開始編輯須要篩選的 IP 地址，點擊下一步，自定義輸入該 IP 篩選器的描述：

點擊下一步，在「源地址」處選擇「任何 IP 地址」，點擊下一步，在「目標地址」處選擇「任何 IP 地址」，點擊下一步，設置須要篩選的 IP 協議類型，由於 Ping 是經過 ICMP 協議來實現的，此處咱們選擇「ICMP」：

點擊下一步，點擊完成。此時，返回到了 IP 篩選器的列表中，在該列表中已經出現了咱們以前建立的 IP 篩選器，咱們選擇上剛纔建立的 IP 篩選器：

點擊肯定以後返回到了以前規則設置中的 IP 篩選器列表選擇窗口，此處咱們選定剛纔建立的 IP 篩選器：

點擊下一步，添加一個篩選器操做：

點擊右側「添加」，在「IP 安全篩選器嚮導」中點擊下一步，自定義輸入篩選器操做的名稱和描述：

點擊下一步，在篩選器應用的操做中選擇「阻止」：

點擊下一步，點擊完成。

在篩選器操做中選擇剛纔建立的篩選器操做：

點擊下一步，點擊完成。

此時就完成了一個 IP 安全策略的所有配置，在屬性窗口中點擊肯定。

爲了進行對比，咱們先在 CMD 中 Ping 本機 IP 地址：

能夠 Ping 通，說明本地的網絡狀態正常。

返回到 MMC 控制檯窗口，在新建立的 IP 安全策略上點擊右鍵，點選「分配」：

此時該策略狀態已變爲「已指派」。

咱們再次回到 CMD 中 Ping 本地地址：

此時 Ping 命令已出現報錯「通常故障」。