IP原則:一夫當關,萬夫莫Ping我
 

　　問題背景
　筆者所在學校校園網建成並投入使用後，電腦教師的網路套用水準提高很快。可能出於好奇，許多老師在網上找到了一些IP位址搜尋軟體，並以攻擊搜尋到的主機為樂。頻繁的伺服器當機嚴疊影響了正常的教學工作。

　　解決方法

　　有什麼辦法可以使自己的伺服器在在線狀態下逃脫搜尋呢？安裝和設定防火牆當然是解決問題的最佳途徑。


如果您沒有安裝防火牆，新增一個禁止所有電腦Ping本機IP位址的安全原則，可以實現同樣的功能。具體新增程序如下（以Windows 2003 Server為例）。

　　Step 1：增加IP篩選器和篩選器操作

　　依次按下「開始→系統管理工具→本機安全原則」，開啟「本機安全性設定」對話視窗，右擊該對話視窗左側的「IP安全原則，在本機電腦」選項，執行「管理IP篩選器表和篩選器操作」指令；
在彈出對話視窗的「管理IP篩選器列表」標籤下按下[增加]按鈕，命名這個篩選器的名稱為「禁止Ping」，描述語言可以為「禁止任何其他電腦Ping我的主機」，按下[下一步]；選項「IP通信源位址」為「我的IP位址」，按下[下一步]；
選項「IP通信目標位址」為「任何IP位址」，按下[下一步]；
選項「IP傳輸協定類型」為「ICMP」（Ping和Tracert等指令操作都是利用ICMP傳輸協定中的報文進行的），按下[下一步]，最後點擊[完成]結束增加。

之後切換到「管理篩選器操作」標籤下，依次按下「增加→下一步」，命名篩選器操作名稱為「阻止所有連接」，描述語言可以為「阻止所有網路連接」，按下[下一步]；
點選「阻止」選項作為此篩選器的操作行為，最後按下[下一步]，完成所有增加操作。



Step 2：新增IP安全原則

　　右擊控制台中的「IP安全原則，在本機電腦」選項，執行[新增安全原則]指令，然後按下[下一步]按鈕；命名這個IP安全原則為「禁止Ping主機」，描述語言為「拒絕任何其他電腦的Ping要求」，並按下[下一步]；
勾選「啟動預設回應規則」後，按下[下一步]；
在「預設回應規則身份驗證方法」對話視窗中點選「使用此字串串保護密鑰交換」選項，並在下面的文字框中任意鍵入一段字串串（如「NO Ping」），按下[下一步]；最後勾選「編輯內容」，按下[完成]按鈕結束新增。

　　Step 3：配置IP安全原則

　　在開啟的「禁止Ping內容」對話視窗中的「一般」標籤下按下「增加→下一步」，點選「此規則不指定隧道」並按下[下一步]；
點選「所有網路連接」，保證所有的電腦都Ping不通該主機，按下[下一步]；在「IP篩選器列表」框中點選「禁止Ping」，按下[下一步]；在「篩選器操作」列表框中點選「阻止所有連接」，按下[下一步]；
取消「編輯內容」選項並按下[完成]，結束配置。




　　Step4：指派IP安全原則

　　安全原則新增完畢後並不能馬上生效，我們還需通過「指派」功能令其發揮作用。右擊「本機安全性設定」對話視窗右側的「禁止Ping主機」原則，執行「指派」指令，即可啟用該原則。

　　至此，這台主機已經具備了拒絕其他任何機器Ping自己IP位址的功能，不過在本機仍然能夠Ping通自己。

經過這樣的設定之後，所有用戶（包括管理員）都不能在其他電腦上對此伺服器進行Ping操作。

限於技術水準，筆者暫時無法提供在IP安全原則下實現用戶權限劃分的方法，希望有相關經驗的朋友補充指正。此方案在Windows 2000/XP系統下同樣適用。

好樣的