使用ipsec阻止對Tcp135連接阜的訪問
一.新增IP篩選器和篩選器操作
1."開始"->"程序"->"系統管理工具"->"本機安全原則".微軟建議使用本機安全原則進行IPsec的設定,因為本機安全原則只套用到本機電腦上,而通常ipsec都是針對某台電腦量身定作的.
2.右擊"Ip安全原則,在本機機器",選項"管理 IP 篩選器表和篩選器操作",啟動管理 IP 篩選器表和篩選器操作對話視窗.我們要先新增一個IP篩選器和相關操作才能夠建立一個相應的IPsec安全原則.
3.在"管理 IP 篩選器表"中,按"增加"按鈕建立新的IP篩選器:
1)在跳出的IP篩選器列表對話視窗內,填上合適的名稱,我們這兒使用"tcp135",描述隨便填寫.按下右側的"增加..."按鈕,啟動IP篩選器嚮導.
2)跳過歡迎對話視窗,下一步.
3)在IP通信源頁面,源地方選"任何IP位址",因為我們要阻止傳入的訪問.下一步.
4)在IP通信目標頁面,目標位址選"我的IP位址".下一步.
5)在IP傳輸協定檔案類型頁面,選項"TCP".下一步.
6)在IP傳輸協定連接阜頁面,選項"到此連接阜"並設定為"135",其它不變.下一步.
7)完成.關閉IP篩選器列表對話視窗.會發現tcp135IP篩選器出現在IP篩選器列表中.
4.選項"管理篩選器操作"標籤,新增一個拒絕操作:
1)按下"增加"按鈕,啟動"篩選器操作嚮導",跳過歡迎頁面,下一步.
2)在篩選器操作名稱頁面,填寫名稱,這兒填寫"拒絕".下一步.
3)在篩選器操作一般選項頁面,將行為設定為"阻止".下一步.
4)完成.
5.關閉"管理 IP 篩選器表和篩選器操作"對話視窗.
二.新增IP安全原則
1.右擊"Ip安全原則,在本機機器",選項"新增IP安全原則",啟動IP安全原則嚮導.跳過歡迎頁面,下一步.
2.在IP安全原則名稱頁面,填寫合適的IP安全原則名稱,這兒我們可以填寫"拒絕對tcp135連接阜的訪問",描述可以隨便填寫.下一步.
3.在安全通信要求頁面,不選項"啟動預設回應規則".下一步.
4.在完成頁面,選項"編輯內容".完成.
5.在"拒絕對tcp135連接阜的訪問內容"對話視窗中進行設定.首先設定規則:
1)按下下面的"增加..."按鈕,啟動安全規則嚮導.跳過歡迎頁面,下一步.
2)在隧道終結點頁面,選項預設的"此規則不指定隧道".下一步.
3)在網路檔案類型頁面,選項預設的"所有網路連接".下一步.
4)在身份驗證方法頁面,選項預設的"windows 2000預設值(Kerberos V5 傳輸協定)".下一步.
5)在IP篩選器列表頁面選項我們剛才建立的"tcp135"篩選器.下一步.
6)在篩選器操作頁面,選項我們剛才建立的"拒絕"操作.下一步.
7)在完成頁面,不選項"編輯內容",確定.
6.關閉"拒絕對tcp135連接阜的訪問內容"對話視窗.
三.指派和套用IPsec安全原則
1.預設情況下,任何IPsec安全原則都未被指派.首先我們要對新增立的安全原則進行指派.在本機安全原則MMC中,右擊我們剛剛建立的""拒絕對tcp135連接阜的訪問內容"安全原則,選項"指派".
2.立即重新整理群組原則.使用"secedit /refreshpolicy machine_policy"指令可立即重新整理群組原則.
|