第十一章 IP安全策略设置方法.pdfVIP

IP 安全策略设置方法 一、适用范围： 它适用于2000 以上Windows 系统的专业版；对家庭版的用户可以看一下是不是能通过： 控制台（运行mmc）－文件－添加/删除管理单元－添加－添加独立单元，添加上 “IP安全 策略管理”，如行的话则可在左边的窗口中看到 “IP安全策略，在本地计算机”了，接下 来的操作就跟专业版一样了。 二、找到 “IP安全策略，在本地计算机”： “IP 安全策略，在本地计算机”选项在 “本地安全设置”下，所以要找到它就得打开 “本地安全设置”。打开 “本地安全设置”的方法，除特殊情况下在上面说的 “控制台”中 添加外，主要采用以下两种方法来打开：1 是点 “开始”－“运行”－输入secpol.msc，点 确定；2 是 “控制面板”－“管理工具”－“本地安全策略”。打开 “本地安全策略”对话 框就能在左边的窗口中看到 “IP安全策略，在本地计算机”了。右击它，在它的下级菜单 IP 安全策略 中能看到 “创建IP 安全策略”和 “管理IP 筛选器表和筛选器操作”等菜单（也可以在此级 菜单中的 “所有任务”项的下级菜单中看到上面的两个菜单）。我们的IP 安全策略主要在 用于QV同网段IP隔离 这两个菜单下操作。对 “创建IP 安全策略”的操作，可先做也可以后做。先做呢，没有内 容，只能建一个空的策略放在那里，等 “筛选器列表”和 “筛选器”有了内容，再添加进去； 后做呢，就能在建好自己的IP 安全策略后马上把刚才做好的 “筛选器”和 “筛选器操作” 添加进去。所以通常把它放到后面去做，这里也把它放到后面去做。 三、建立新的筛选器： 1、在 “IP安全策略，在本地计算机”的下级菜单中选择 “管理IP 筛选器和筛选器操 作”菜单，打开 “管理IP 筛选器和筛选器操作”对话框，里面有两个标签： “管理IP 筛 选器列表”和 “管理筛选器操作”。选择 “管理IP筛选器列表”标签 ，在 “IP筛选器列表” 下的文本框下面能看到三个按钮： “添加”、 “编辑”和 “删除”。 2、点 “添加”按钮，打开叫做 “IP筛选器列表”的对话框，里面有三个文本框，从上 到下分别是：“名称”、“描述”和 “筛选器”。在“名称”和 “描述”文本框右边，能看 到 “添加”、“编辑”和 “删除”三个按钮（对没有内容的筛选器而言，它的 “编辑”和 “删 除”按钮不可用），在这三个按钮下有一个复选框，复选框后面有 “使用 ‘添加向导’”这 样的文本说明。 3、取消默认的对 “使用 ‘添加向导’”的勾选，在 “名称”下面的文本框中把默认的 “新IP 筛选器列表”修改成下面要建立的筛选器列表的名称，我们这里先输入： “病毒常 驻端口”，在 “描述”下面的空白文本框中输进去 “病毒常驻端口”后面的全部端口号（可 以用复制、粘贴来操作），主要作用是便于下一步对照着添加作为 “筛选器”具体内容的 “端 口”。 这时可以点 “确定”按钮，保存本 “筛选器”。但由于它没有任何内容，所以会蹦出来 “IP筛选器列表警告”对话框，提示 “这个IP 筛选器列表是空的。没有匹配的IP 数据包。 您想……吗？”，因为保存是目的，所以选择 “是”。 4、这里我们不点 “确定”，不保存空的筛选器，直接向 “筛选器”下面的文本框中添 IP 安全策略 加本筛选器要操作的端口。这个文本框中是不能直接用输入法输入、编辑的，具体方法见下 一步。用于QV同网段IP隔离 四、添加“筛选器”要操作的端口： 1、点 “IP筛选器列表”对话框中的 “添加”按钮，打开 “筛选器 属性”对话框。这 个对话框里面有三个标签： “寻址”、 “协议”和 “描述”。 2、在 “寻址”标签下有两个选项框和一个复选框。从上到下是 “源地址”选项框、“目 标地址”选项框和 “镜像。同时与源地址和目标地址……匹配”复选框。因为我们现在要做 的是 “进入端口”的阻止设置，也就是要阻止病毒、木马从这些端口联系或叫 “进入”咱们 的系统，所以我们在 “源地址”下选择 “任何IP 地址”，在 “目标地址”下选择 “我的IP 地址”，取消对 “镜像……”复选框的勾选；如果是做 “出端口”则在 “源地址”下选择 “我的IP 地址”，在 “目标地址”下选择 “任何IP 地址”，同样不选择 “镜像”。 3、在 “协议”标签下，默认状态下只有 “选择协议类型”选项框可操作。点一下选项 框右边的小三角按钮，打开选项列表，根据端口的协议类型来选择（我们可以操作的主要是