利用“IP安全策略管理单元”实现简易防火墙

利用“IP安全策略管理单元”实现简易防火墙

利用“IP安全策略管理单元”实现简易防火墙

一、任务描述

利用Windows2000/XP控制台中的IP安全策略管理单元实现阻止某一特定的IP地址对本机的任何基于TCP协议的访问。

二、步骤概要：

1．添加IP安全策略管理单元；

2．添加IP筛选器表；

3．添加IP筛选器操作；

4．创建IP安全策略；

5．应用IP安全策略。

三、详细步骤

1． 添加IP安全策略管理单元

此步要完成的工作：在控制台中加入IP安全策略管理单元。

（1） 选择“开始”->“运行”命令；在“运行”对话框中输入mmc，单击“确定”按

钮，出现“控制台1”窗口，如图1.1。选择菜单上的“文件”->“添加/删除管理单元”命令，出现“添加/删除管理单元”对话框，如图1.2。

（2） 在“添加/删除管理单元”对话框中，选择“独立”标签页，在“管理单元添加到”

下拉列表框中，选择“控制台根节点”选项，单击添加按钮，出现“添加独立管理单元”对话框如图1.3所示。

（3） 于“添加独立管理单元”对话框中，在“可用的独立管理单元”列表框中选择“IP

安全策略管理”选项，单击“添加”按钮；在出现的“选择计算机”对话框中，单击“本地计算机”单选按钮，然后单击“完成”按钮；自动返回到“添加独立管理单元”对话框。

（4） 在“添加独立管理单元”对话框中，单击“关闭”按钮，返回“添加/删除管理单

元”对话框；单击“确定”按钮，返回“控制台1”窗口，如图1.4所示。

至此“添加IP安全策略管理单元”步骤结束。

图1.1“控制台1”窗口

利用“IP安全策略管理单元”实现简易防火墙

图1.2 “添加/删除管理单元”对话框

图1.3“添加独立管理单元”对话框

利用“IP安全策略管理单元”实现简易防火墙

图1.4 添加了IP安全策略的“控制台1”窗口

2． 添加IP筛选器表

此步所完成的工作：在筛选器列表中建立筛选器操作对象的定义。

（1）在图1.4所示的窗口中，选中左边窗口的“IP安全策略，在本地计算机”右击，从

弹出菜单中选择“管理IP筛选器表和IP筛选器操作”单击，出现如图2.1所示的“管理IP筛选器表和IP筛选器操作”对话框。

（2）在“管理IP筛选器表和IP筛选器操作”对话框中，选择“管理IP筛选器列表”标

签页，单击“添加”按钮，出现如图2.2所示的“IP筛选器列表”对话框。在此对话框中输入IP筛选器的名称与描述，取消选择“使用“添加向导”(W) ”复选框，单击添加按钮，出现如图2.3所示的“筛选器属性”对话框，对此筛选器进行设定。

（3）在“筛选器属性”对话框中，选择“寻址”标签页，在“源地址”下拉列表框中选

择“我的IP地址”选项，在“目标地址”下拉列表框中选择“一个特定的IP地址”选项。当“目标地址”选择“一个特定的IP地址”时，“IP地址”文本框可用，需要输入要屏蔽的特定IP地址。需要说明的是：默认情况下，“IP筛选器”的作用是单向的，如源地址是A，目标地址是B，则本筛选器只对A→B的包进行筛选器操作，对反方向的包不作处理，直接通过；选中“镜像”复选框，则本筛选器对A←→B的包都作处理。

（4）选择“筛选器属性”对话框的“协议”标签页，在“选择协议类型”下拉框中选择

欲处理的协议，如“TCP”，意味着本筛选器仅对TCP协议的包进行筛选器操作，不对其他协议（如UDP、ICMP）做任何操作；在“设置IP协议端口：”栏中设置相应的端口，如图2.4所示。

（5）在“筛选器属性”对话框的“描述”标签页的文本框中输入本筛选器列表的说明文

字。单击“确定”按钮，返回到“IP筛选器列表”窗口，如图2.5所示。“屏蔽特定IP对本机的访问”被加入了筛选器列表。

至此“添加IP筛选器表”步骤结束。

利用“IP安全策略管理单元”实现简易防火墙

图2.1“管理IP筛选器表和IP筛选器操作”对话框

图2.2“IP筛选器列表”对话框

利用“IP安全策略管理单元”实现简易防火墙

图2.3“筛选器属性”对话框

利用“IP安全策略管理单元”实现简易防火墙

图2.4 “筛选器属性”对话框的协议标签页

图2.5加入了“屏蔽特定IP对本机的访问”的筛选器列表对话框

利用“IP安全策略管理单元”实现简易防火墙

3． 添加IP筛选器操作

此步所完成的工作：在第2步完成后，仅将一个特定的IP地址“172.17.244.237”和主机之间的TCP包的流通这样一个操作对象加入到IP筛选器列表中，至于做何操作还没有定义；这一步将完成操作的定义。

（1）在图1.4所示的窗口中，选中左边窗口的“IP安全策略，在本地计算机”右击，从弹

出菜单中选择“管理IP筛选器表和IP筛选器操作”单击，出现如图3.1所示的“管理IP筛选器表和IP筛选器操作”对话框。

（2）在图3.1 “管理IP筛选器表和IP筛选器操作”对话框的“管理IP筛选器列表”标签

页选择第2步建立“屏蔽特定IP对本机的访问”筛选器选项；然后选择“管理筛选器操作”标签页，如图3.2所示，单击“添加”按钮，出现如图3.3所示的“新筛选器操作属性”对话框。

（3）在“新筛选器操作属性”对话框的“安全措施”标签页中，选择“阻止”单选按钮，

如图3.3所示。在“常规”标签页中输入筛选器操作的名称与描述。如图3.4所示。单击“确定”按钮。到此，“阻止”操作被加入到筛选器操作中。如图3.5所示。 至此，“添加IP筛选器操作”完成。

图3.1“管理IP筛选器表和IP筛选器操作”对话框

利用“IP安全策略管理单元”实现简易防火墙

图3.2选择了“管理器操作属性”标签页的“管理IP筛选器表和筛选器操作”对话框

利用“IP安全策略管理单元”实现简易防火墙

图3.3“新筛选器操作属性”对话框

利用“IP安全策略管理单元”实现简易防火墙

图3.4 筛选器操作属性的“常规”标签

利用“IP安全策略管理单元”实现简易防火墙

图3.5 筛选器操作设置完成

4． 创建IP安全策略

此步骤的工作：筛选器操作对象和筛选器操作已分别在第2、3步完成，这一步的工作就是将两者结合起来，发挥防火墙的作用。

（1） 在图1.4所示的“控制台1”窗口中，选中左边窗口的“IP安全策略，在本地计算

机”右击，从弹出菜单中选择“创建IP安全策略”单击，出现“IP安全策略向导”对话框；在如图4.1所示的“IP安全策略向导”对话框中输入IP安全策略的名称和描述。

（2） 单击“下一步”，出现如图4.2所示的对话框；取消选择“激活默认的响应规则”复

选框；单击“下一步”，出现如图4.3所示的对话框，选择“编辑属性”复选框，单击“完成”按钮，出现如图4.4所示的“我的IP安全策略属性”对话框（注意，这个对话框的标题是在“IP安全策略向导”中输入的IP安全策略的名称）。

（3） 在“我的IP安全策略属性”对话框的“规则”标签页中，单击“添加”按钮，出现

如图4.5所示的“新规则属性”对话框。

（4） 在“新规则属性”对话框的“IP筛选器列表”标签页中，选择由第2步所建立的IP

筛选器操作对象“屏蔽特定IP对本机的访问”单选按钮，如图 4.5所示；在“筛选器操作”标签页中，选择由第3步所建立的IP筛选器操作“阻止172.17.244.237对本机的访问”单选按钮，如图4.6所示。单击“确定”按钮，返回“我的IP安全策略属性”对话框，如图4.8所示，可以看到新的规则已经建立。

至此，“创建IP安全策略”已经完成，也就是将自己创建的IP筛选器操作对象和IP筛选器操作结合起来，作为一个IP安全策略。

利用“IP安全策略管理单元”实现简易防火墙

图4.1“IP安全策略向导”对话框

图4.2“IP安全策略向导”对话框

利用“IP安全策略管理单元”实现简易防火墙

图4.3“IP安全策略向导”对话框

图4.4“我的IP安全策略属性”对话框

利用“IP安全策略管理单元”实现简易防火墙

图4.5“新规则属性”对话框

利用“IP安全策略管理单元”实现简易防火墙

图4.6“新规则属性”对话框

利用“IP安全策略管理单元”实现简易防火墙

图4.7“我的IP安全策略属性”对话框

5． 应用IP安全策略

此步要完成的工作：IP安全策略创建完后，启动IP安全策略，让其发挥作用。

（1） 在如图 5.1所示的窗口中，右击“我的IP安全策略”，在弹出菜单中单击“指派”

命令。这时IP安全策略已启动。

（2） 保存“我的IP安全策略”。

利用“IP安全策略管理单元”实现简易防火墙

图5.1 控制台窗口

本文来源：https://www.bwwdw.com/article/iu41.html