史萊姆論壇

史萊姆論壇 (http://forum.slime.com.tw/)
-   網路軟硬體架設技術文件 (http://forum.slime.com.tw/f133.html)
-   -   增加IP安全原則 遠離系統Ping漏洞的威脅 (http://forum.slime.com.tw/thread175305.html)

psac 2006-05-24 10:18 PM

增加IP安全原則 遠離系統Ping漏洞的威脅
 
增加IP安全原則 遠離系統Ping漏洞的威脅

懂得網路的人對於Ping這個最基本的網路指令一定很熟悉,它是一個非常好用的TCP/IP工具。它可以向你提供的位址傳送一個小的資料包,然後偵聽這台機器是否有「回答」。你可以使用機器的 Internet 位址,如:ping 192.78.222.81,或者也可使用機器名,如:ping MyComputer。 在使用Ping時,Ping工具程序傳送一個ICMP(Internet Control Management Protocol,簡稱Internet控制管理傳輸協定)回應請求給對方,以驗證另一台電腦是否在網路上,分析對方的名字和IP位址。 簡單來說,PING能告訴你現在哪些機器在網路上活動。可是這個Ping也能給Windows系統帶來嚴重的後果,那就是Ping入侵即是ICMP入侵,原理是通過Ping大量的資料包使得電腦的CPU使用率居高不下而崩潰,通常在一個時段內連續向電腦發出大量請求而導致CPU處理不及而當機。實際上我們可以通過相應的設定或者利用防火牆來使對方無法PING到自己的電腦。
  下面將向朋友介紹如何組態系統IP安全原則來禁止他人Ping自己的主機,具體操作步驟如下:
  一、增加IP安全原則
  我們首先要做的就是,在控制台中增加IP安全原則單元,增加步驟如下:
  1)依次點擊「開始」→「執行」,然後在「執行」視窗中輸入「mmc」並Enter鍵,此時將會開啟「控制台1」視窗(如圖1);
   http://news.onlinedown.net/images/upimg/2005011405.jpg

  2)在圖1所顯示視窗依次點擊「文件」→「增加/移除管理單元」 →「增加」,此時將會開啟「增加/移除管理單元」視窗,我們在此視窗下的列表中雙按「IP安全原則管理」(如圖2);
  
http://news.onlinedown.net/images/upimg/2005011406.jpg
  3)這時將會彈出「選項電腦域」視窗,在此我們選「本機電腦」,然後點擊「完成」按鈕,最後依次點擊「關閉」→「確定」,返回「控制台1」主介面,此時我們將會發現在「控制台要節點」下多了「IP安全原則,在本機電腦」(如圖3)項,此時可以說明控制台中已經增加了IP安全原則項。
  
http://news.onlinedown.net/images/upimg/2005011407.jpg
  二、新增IP安全原則
  在我們增加了IP安全原則後,還要新增一個新的IP安全原則,步驟如下:
  (1)在圖3中右鍵點擊「IP安全原則,在本機機器」選項,執行「新增IP安全原則」指令,此時將會開啟「IP安全原則嚮導」視窗;
  (2)按下「下一步」按鈕,此時將會出現要求指定IP安全原則名稱及描述嚮導頁面,我們可以在「描述」下輸入一個原則描述,比如「禁止Ping」(如圖4);
  
http://news.onlinedown.net/images/upimg/2005011408.jpg
  (3)點擊「下一步」,然後在出現的頁面中確保選了「啟動預設值相應規則」項,然後按下「下一步」;
   (4)在出現的「預設值回應規則身份驗證方法」對話視窗中我們選「此字串串用來保護密鑰交換(預共享密鑰)」選項,然後在下面的文字項中任意按鍵輸入一段字串串(如「禁止 Ping」)(如圖5);
   http://news.onlinedown.net/images/upimg/2005011409.jpg

  (5)按下「下一步」,此時將會出現完成IP安全原則嚮導頁面視窗,最後按下「完成」按鈕即完成了IP安全原則的新增工作。
  三、編輯IP安全原則內容

  在以上IP安全原則新增後,在控制台中就會看到剛剛新增好的「新IP安全原則」項,下面還要對其內容進行編輯修改,步驟如下;
  (1)在控制台中雙按新增好的新IP安全原則,此時將會彈出「新IP安全原則內容」視窗(如圖6);
   http://news.onlinedown.net/images/upimg/2005011410.jpg

  (2)按下「增加」按鈕,此時將會彈出「安全規則嚮導」視窗,直接點擊「下一步」則進入「隧道終結點」頁面,在此點選「此規則不指定隧道」;
[page]  


(3)按下「下一步」此時將會出現「網路檔案類型」頁面,在該頁面中我們點選「所有網路連接」項,這樣就能保證所有的電腦都Ping不通該主機了(如圖7);
  
http://news.onlinedown.net/images/upimg/2005011411.jpg
  (4)按下「下一步」,此時將會出現「身份驗證方法」頁面,我們繼續選「此字串串用來保護密鑰交換(預共享密鑰)」項,然後在下面的輸入項中輸入「禁止Ping」的文字(如圖8);
  
http://news.onlinedown.net/images/upimg/2005011412.jpg



  (5)按下「下一步」,然後在開啟的「IP篩選器列表」頁面中按下「增加」按鈕,此時將會開啟「IP篩選器列表」視窗(如圖9);
  


http://news.onlinedown.net/images/upimg/2005011413.jpg

  (6)在「IP篩選器列表」視窗中按下「增加」按鈕,此時將會彈出「IP篩選器嚮導」視窗,我們按下「下一步」,此時將會彈出「IP通信源」頁面,在該頁面中設定「源位址」為「我的IP位址」(如圖10);

http://news.onlinedown.net/images/upimg/2005011414.jpg

  (7)按下「下一步」按鈕,我們在彈出的頁面中設定「目標位址」為「任何IP位址」,任何IP位址的電腦都不能Ping你的機器(如圖11);
  
http://news.onlinedown.net/images/upimg/2005011415.jpg
   (8)點擊「下一步」,然後在出現的「IP傳輸協定檔案類型」頁面中設定「選項傳輸協定檔案類型」為「ICMP」(如圖12);
   http://news.onlinedown.net/images/upimg/2005011416.jpg

   (9)依次按下「下一步」→「完成」,此時,你將會在「IP篩選器列表」看到剛剛新增的篩選器,將其選後按下「下一步」,我們在出現的「篩選器操作」頁面中設定篩選器操作為「需要安全」選項(如圖13);
  
http://news.onlinedown.net/images/upimg/2005011417.jpg
  10)點擊「下一步」,然後依次點擊「完成」→「確定」→「關閉」按鈕,儲存相關的設定返回控制台即可。
  四、指派IP安全原則
  安全原則新增完畢後並不能馬上生效,我們還需通過「指派」功能令其發揮作用。方法是:在「控制台根節點」中右擊「新的IP安全原則」項,然後在彈出的右鍵表單中執行「指派」指令,即可啟用該原則(如圖14)。
   http://news.onlinedown.net/images/upimg/2005011418.jpg

  至此,這台主機已經具備了拒絕其他任何機器Ping自己IP位址的功能,不過在本機仍然能夠Ping通自己。經過這樣的設定之後,所有用戶(包括管理員)都不能在其他電腦上對此伺服器進行Ping操作。從此你再也不用擔心被Ping威脅了吧!

psac 2006-05-29 05:13 AM

IP地址衝突問題的解決方法

當電腦使用過程中出現「電腦探測到IP地址與您的網卡物理地址發生衝突」的錯誤時,您就無法使用網絡。此時,您可以做如下操作解決問題:

1 如果您使用的電腦的操作系統是:windows 98

點擊左下角「開始」→「執行」,鍵入:winipcfg,點擊「確定」,在彈出的視窗中,點擊「全部釋放」,然後點擊「全部更新」,即可解決問題。

如果系統提示無法更新,則需要重新啟動電腦。

2 如果您使用的電腦的操作系統是:windows 2000 或windows XP

點擊左下角「開始」→「執行」,鍵入:ipconfig /release,點擊「確定」,在此點擊「開始」→「執行」,鍵入:ipconfig /renew,點擊「確定」,即可解決問題。


所有時間均為台北時間。現在的時間是 01:59 AM

Powered by vBulletin® 版本 3.6.8
版權所有 ©2000 - 2021, Jelsoft Enterprises Ltd.

『服務條款』

* 有問題不知道該怎麼解決嗎?請聯絡本站的系統管理員 *


SEO by vBSEO 3.6.1