|
論壇說明 | 標記討論區已讀 |
歡迎您來到『史萊姆論壇』 ^___^ 您目前正以訪客的身份瀏覽本論壇,訪客所擁有的權限將受到限制,您可以瀏覽本論壇大部份的版區與文章,但您將無法參與任何討論或是使用私人訊息與其他會員交流。若您希望擁有完整的使用權限,請註冊成為我們的一份子,註冊的程序十分簡單、快速,而且最重要的是--註冊是完全免費的! 請點擊這裡:『註冊成為我們的一份子!』 |
|
主題工具 | 顯示模式 |
2003-12-01, 02:57 PM | #1 |
榮譽會員
|
IP原則:一夫當關,萬夫莫Ping我
問題背景
筆者所在學校校園網建成並投入使用後,電腦教師的網路套用水準提高很快。可能出於好奇,許多老師在網上找到了一些IP位址搜尋軟體,並以攻擊搜尋到的主機為樂。頻繁的伺服器當機嚴疊影響了正常的教學工作。 解決方法 有什麼辦法可以使自己的伺服器在在線狀態下逃脫搜尋呢?安裝和設定防火牆當然是解決問題的最佳途徑。 如果您沒有安裝防火牆,新增一個禁止所有電腦Ping本機IP位址的安全原則,可以實現同樣的功能。具體新增程序如下(以Windows 2003 Server為例)。 Step 1:增加IP篩選器和篩選器操作 依次按下「開始→系統管理工具→本機安全原則」,開啟「本機安全性設定」對話視窗,右擊該對話視窗左側的「IP安全原則,在本機電腦」選項,執行「管理IP篩選器表和篩選器操作」指令; 在彈出對話視窗的「管理IP篩選器列表」標籤下按下[增加]按鈕,命名這個篩選器的名稱為「禁止Ping」,描述語言可以為「禁止任何其他電腦Ping我的主機」,按下[下一步];選項「IP通信源位址」為「我的IP位址」,按下[下一步]; 選項「IP通信目標位址」為「任何IP位址」,按下[下一步]; 選項「IP傳輸協定類型」為「ICMP」(Ping和Tracert等指令操作都是利用ICMP傳輸協定中的報文進行的),按下[下一步],最後點擊[完成]結束增加。 之後切換到「管理篩選器操作」標籤下,依次按下「增加→下一步」,命名篩選器操作名稱為「阻止所有連接」,描述語言可以為「阻止所有網路連接」,按下[下一步]; 點選「阻止」選項作為此篩選器的操作行為,最後按下[下一步],完成所有增加操作。 Step 2:新增IP安全原則 右擊控制台中的「IP安全原則,在本機電腦」選項,執行[新增安全原則]指令,然後按下[下一步]按鈕;命名這個IP安全原則為「禁止Ping主機」,描述語言為「拒絕任何其他電腦的Ping要求」,並按下[下一步]; 勾選「啟動預設回應規則」後,按下[下一步]; 在「預設回應規則身份驗證方法」對話視窗中點選「使用此字串串保護密鑰交換」選項,並在下面的文字框中任意鍵入一段字串串(如「NO Ping」),按下[下一步];最後勾選「編輯內容」,按下[完成]按鈕結束新增。 Step 3:配置IP安全原則 在開啟的「禁止Ping內容」對話視窗中的「一般」標籤下按下「增加→下一步」,點選「此規則不指定隧道」並按下[下一步]; 點選「所有網路連接」,保證所有的電腦都Ping不通該主機,按下[下一步];在「IP篩選器列表」框中點選「禁止Ping」,按下[下一步];在「篩選器操作」列表框中點選「阻止所有連接」,按下[下一步]; 取消「編輯內容」選項並按下[完成],結束配置。 Step4:指派IP安全原則 安全原則新增完畢後並不能馬上生效,我們還需通過「指派」功能令其發揮作用。右擊「本機安全性設定」對話視窗右側的「禁止Ping主機」原則,執行「指派」指令,即可啟用該原則。 至此,這台主機已經具備了拒絕其他任何機器Ping自己IP位址的功能,不過在本機仍然能夠Ping通自己。 經過這樣的設定之後,所有用戶(包括管理員)都不能在其他電腦上對此伺服器進行Ping操作。 限於技術水準,筆者暫時無法提供在IP安全原則下實現用戶權限劃分的方法,希望有相關經驗的朋友補充指正。此方案在Windows 2000/XP系統下同樣適用。 |
送花文章: 3,
|