查看單個文章
舊 2006-05-24, 10:18 PM   #1
psac
榮譽會員
 
psac 的頭像
榮譽勳章
UID - 3662
在線等級: 級別:30 | 在線時長:1048小時 | 升級還需:37小時級別:30 | 在線時長:1048小時 | 升級還需:37小時級別:30 | 在線時長:1048小時 | 升級還需:37小時級別:30 | 在線時長:1048小時 | 升級還需:37小時級別:30 | 在線時長:1048小時 | 升級還需:37小時
註冊日期: 2002-12-07
住址: 木柵市立動物園
文章: 17381
現金: 5253 金幣
資產: 33853 金幣
預設 增加IP安全原則 遠離系統Ping漏洞的威脅

增加IP安全原則 遠離系統Ping漏洞的威脅

懂得網路的人對於Ping這個最基本的網路指令一定很熟悉,它是一個非常好用的TCP/IP工具。它可以向你提供的位址傳送一個小的資料包,然後偵聽這台機器是否有「回答」。你可以使用機器的 Internet 位址,如:ping 192.78.222.81,或者也可使用機器名,如:ping MyComputer。 在使用Ping時,Ping工具程序傳送一個ICMP(Internet Control Management Protocol,簡稱Internet控制管理傳輸協定)回應請求給對方,以驗證另一台電腦是否在網路上,分析對方的名字和IP位址。 簡單來說,PING能告訴你現在哪些機器在網路上活動。可是這個Ping也能給Windows系統帶來嚴重的後果,那就是Ping入侵即是ICMP入侵,原理是通過Ping大量的資料包使得電腦的CPU使用率居高不下而崩潰,通常在一個時段內連續向電腦發出大量請求而導致CPU處理不及而當機。實際上我們可以通過相應的設定或者利用防火牆來使對方無法PING到自己的電腦。
  下面將向朋友介紹如何組態系統IP安全原則來禁止他人Ping自己的主機,具體操作步驟如下:
  一、增加IP安全原則
  我們首先要做的就是,在控制台中增加IP安全原則單元,增加步驟如下:
  1)依次點擊「開始」→「執行」,然後在「執行」視窗中輸入「mmc」並Enter鍵,此時將會開啟「控制台1」視窗(如圖1);
   http://news.onlinedown.net/images/upimg/2005011405.jpg

  2)在圖1所顯示視窗依次點擊「文件」→「增加/移除管理單元」 →「增加」,此時將會開啟「增加/移除管理單元」視窗,我們在此視窗下的列表中雙按「IP安全原則管理」(如圖2);
  
http://news.onlinedown.net/images/upimg/2005011406.jpg
  3)這時將會彈出「選項電腦域」視窗,在此我們選「本機電腦」,然後點擊「完成」按鈕,最後依次點擊「關閉」→「確定」,返回「控制台1」主介面,此時我們將會發現在「控制台要節點」下多了「IP安全原則,在本機電腦」(如圖3)項,此時可以說明控制台中已經增加了IP安全原則項。
  
http://news.onlinedown.net/images/upimg/2005011407.jpg
  二、新增IP安全原則
  在我們增加了IP安全原則後,還要新增一個新的IP安全原則,步驟如下:
  (1)在圖3中右鍵點擊「IP安全原則,在本機機器」選項,執行「新增IP安全原則」指令,此時將會開啟「IP安全原則嚮導」視窗;
  (2)按下「下一步」按鈕,此時將會出現要求指定IP安全原則名稱及描述嚮導頁面,我們可以在「描述」下輸入一個原則描述,比如「禁止Ping」(如圖4);
  
http://news.onlinedown.net/images/upimg/2005011408.jpg
  (3)點擊「下一步」,然後在出現的頁面中確保選了「啟動預設值相應規則」項,然後按下「下一步」;
   (4)在出現的「預設值回應規則身份驗證方法」對話視窗中我們選「此字串串用來保護密鑰交換(預共享密鑰)」選項,然後在下面的文字項中任意按鍵輸入一段字串串(如「禁止 Ping」)(如圖5);
   http://news.onlinedown.net/images/upimg/2005011409.jpg

  (5)按下「下一步」,此時將會出現完成IP安全原則嚮導頁面視窗,最後按下「完成」按鈕即完成了IP安全原則的新增工作。
  三、編輯IP安全原則內容

  在以上IP安全原則新增後,在控制台中就會看到剛剛新增好的「新IP安全原則」項,下面還要對其內容進行編輯修改,步驟如下;
  (1)在控制台中雙按新增好的新IP安全原則,此時將會彈出「新IP安全原則內容」視窗(如圖6);
   http://news.onlinedown.net/images/upimg/2005011410.jpg

  (2)按下「增加」按鈕,此時將會彈出「安全規則嚮導」視窗,直接點擊「下一步」則進入「隧道終結點」頁面,在此點選「此規則不指定隧道」;
[page]  


(3)按下「下一步」此時將會出現「網路檔案類型」頁面,在該頁面中我們點選「所有網路連接」項,這樣就能保證所有的電腦都Ping不通該主機了(如圖7);
  
http://news.onlinedown.net/images/upimg/2005011411.jpg
  (4)按下「下一步」,此時將會出現「身份驗證方法」頁面,我們繼續選「此字串串用來保護密鑰交換(預共享密鑰)」項,然後在下面的輸入項中輸入「禁止Ping」的文字(如圖8);
  
http://news.onlinedown.net/images/upimg/2005011412.jpg



  (5)按下「下一步」,然後在開啟的「IP篩選器列表」頁面中按下「增加」按鈕,此時將會開啟「IP篩選器列表」視窗(如圖9);
  


http://news.onlinedown.net/images/upimg/2005011413.jpg

  (6)在「IP篩選器列表」視窗中按下「增加」按鈕,此時將會彈出「IP篩選器嚮導」視窗,我們按下「下一步」,此時將會彈出「IP通信源」頁面,在該頁面中設定「源位址」為「我的IP位址」(如圖10);

http://news.onlinedown.net/images/upimg/2005011414.jpg

  (7)按下「下一步」按鈕,我們在彈出的頁面中設定「目標位址」為「任何IP位址」,任何IP位址的電腦都不能Ping你的機器(如圖11);
  
http://news.onlinedown.net/images/upimg/2005011415.jpg
   (8)點擊「下一步」,然後在出現的「IP傳輸協定檔案類型」頁面中設定「選項傳輸協定檔案類型」為「ICMP」(如圖12);
   http://news.onlinedown.net/images/upimg/2005011416.jpg

   (9)依次按下「下一步」→「完成」,此時,你將會在「IP篩選器列表」看到剛剛新增的篩選器,將其選後按下「下一步」,我們在出現的「篩選器操作」頁面中設定篩選器操作為「需要安全」選項(如圖13);
  
http://news.onlinedown.net/images/upimg/2005011417.jpg
  10)點擊「下一步」,然後依次點擊「完成」→「確定」→「關閉」按鈕,儲存相關的設定返回控制台即可。
  四、指派IP安全原則
  安全原則新增完畢後並不能馬上生效,我們還需通過「指派」功能令其發揮作用。方法是:在「控制台根節點」中右擊「新的IP安全原則」項,然後在彈出的右鍵表單中執行「指派」指令,即可啟用該原則(如圖14)。
   http://news.onlinedown.net/images/upimg/2005011418.jpg

  至此,這台主機已經具備了拒絕其他任何機器Ping自己IP位址的功能,不過在本機仍然能夠Ping通自己。經過這樣的設定之後,所有用戶(包括管理員)都不能在其他電腦上對此伺服器進行Ping操作。從此你再也不用擔心被Ping威脅了吧!
__________________
http://bbsimg.qianlong.com/upload/01/08/29/68/1082968_1136014649812.gif
psac 目前離線  
送花文章: 3, 收花文章: 1630 篇, 收花: 3204 次