IP安全策略设置.docx

IP安全策略的设置 IP安全策略设置方法 一、适用范围： 它适用于2000 以上Windows 系统的专业版；对家庭版的用户可以看一下是不是能通过： 控制台（运行mmc）－文件－添加/删除管理单元－添加－添加独立单元，添加上“IP安全策略管理”，如行的话则可在左边的窗口中看到“IP安全策略，在本地计算机”了，接下来的操作就跟专业版一样了。 二、找到“IP安全策略，在本地计算机”： “IP 安全策略，在本地计算机”选项在“本地安全设置”下，所以要找到它就得打开 “本地安全设置”。打开 “本地安全设置”的方法，除特殊情况下在上面说的“控制台”中 添加外，主要采用以下两种方法来打开：1是点“开始”－“运行”－输入secpol.msc，点确定；2 是“控制面板”－“管理工具”－“本地安全策略”。打开“本地安全策略”对话框就能在左边的窗口中看到“IP安全策略，在本地计算机”了。右击它，在它的下级菜单 IP 安全策略中能看到“创建IP安全策略”和“管理IP筛选器表和筛选器操作”等菜单（也可以在此级菜单中的“所有任务”项的下级菜单中看到上面的两个菜单）。我们的IP安全策略主要在用于QV同网段IP隔离这两个菜单下操作。对“创建IP安全策略”的操作，可先做也可以后做。先做呢，没有内容，只能建一个空的策略放在那里，等“筛选器列表”和“筛选器”有了内容，再添加进去；后做呢，就能在建好自己的IP安全策略后马上把刚才做好的“筛选器”和“筛选器操作”添加进去。所以通常把它放到后面去做，这里也把它放到后面去做。 三、建立新的筛选器： 1、在“IP安全策略，在本地计算机”的下级菜单中选择“管理IP筛选器和筛选器操作”菜单，打开“管理IP筛选器和筛选器操作”对话框，里面有两个标签：“管理IP 筛选器列表”和“管理筛选器操作”。选择 “管理IP筛选器列表”标签 ，在“IP筛选器列表”下的文本框下面能看到三个按钮：“添加”、“编辑”和“删除”。 管理安全删选器列表 2、点“添加”按钮，打开叫做“IP筛选器列表”的对话框，里面有三个文本框，从上到下分别是：“名称”、“描述”和“筛选器”。在“名称”和“描述”文本框右边，能看到“添加”、“编辑”和“删除”三个按钮（对没有内容的筛选器而言，它的“编辑”和“删除”按钮不可用），在这三个按钮下有一个复选框，复选框后面有“使用 ‘添加向导’”这样的文本说明。 3、取消默认的对“使用 ‘添加向导’”的勾选，在“名称”下面的文本框中把默认的“新IP筛选器列表”修改成下面要建立的筛选器列表的名称，我们这里先输入：“病毒常驻端口”，在“描述”下面的空白文本框中输进去“病毒常驻端口”后面的全部端口号（可以用复制、粘贴来操作），主要作用是便于下一步对照着添加作为“筛选器”具体内容的“端口”。这时可以点“确定”按钮，保存本“筛选器”。但由于它没有任何内容，所以会蹦出来“IP筛选器列表警告”对话框，提示“这个IP筛选器列表是空的。没有匹配的IP数据包。您想……吗？”，因为保存是目的，所以选择“是”。 点击“是”。 4、这里我们不点“确定”，不保存空的筛选器，直接向“筛选器”下面的文本框中添加本筛选器要操作的端口。这个文本框中是不能直接用输入法输入、编辑的，具体方法见下一步。 四、添加“筛选器”要操作的端口： 1、点“IP筛选器列表”对话框中的“添加”按钮，打开“筛选器 属性”对话框。这个对话框里面有三个标签：“寻址”、“协议”和“描述”。 2、在“寻址”标签下有两个选项框和一个复选框。从上到下是“源地址”选项框、“目标地址”选项框和“镜像。同时与源地址和目标地址……匹配”复选框。因为我们现在要做 的是“进入端口”的阻止设置，也就是要阻止病毒、木马从这些端口联系或叫“进入”咱们 的系统，所以我们在“源地址”下选择“任何IP地址”，在“目标地址”下选择“我的IP地址”，取消对“镜像……”复选框的勾选；如果是做“出端口”则在“源地址”下选择“我的IP 地址”，在“目标地址”下选择“任何IP地址”，同样不选择“镜像”。 3、在“协议”标签下，默认状态下只有“选择协议类型”选项框可操作。点一下选项框右边的小三角按钮，打开选项列表，根据端口的协议类型来选择（我们可以操作的主要是“TCP”和“UDP”，在下面所列的“要做的筛选器”下要做的筛选器列表如：“病毒常驻端口”、“打印与共享”等，在它们下面所列的端口号前面都用括号把相应的类型做了标记）。选择了类型后，下面的“设置IP协议端口”成为可选状态，咱们是在做不允许别人进，所以就在上半部保留默认选择的“从任意端口”，在下半部选择“到此端口” （这里所说的“选择”操作就是在复选框前的小圆框里点上一个小黑点，就算选上啦），选择之后它下面的文本框变成可操作状态，在里面输入一个端口。因为每次