IP安全策略的设置

1、实验报告IP安全策略的设置IP安全策略设置方法、适用范围:它适用于2000以上Windows系统的专业版；对家庭版的用户可以看一下是不是能通过：控制台（运行mm。文件添加/删除管理单元添加添加独立单元，添加上“ IP安全策略管理”，如行的话 则可在左边的窗口中看到“ IP安全策略，在本地计算机” 了，接下来的操作就跟专业版一样了。二、找到“ IP安全策略，在本地计算机”：“IP安全策略，在本地计算机”选项在“本地安全设置”下，所以要找到它就得打开“本地安全设置”。打开“本地安全设置”的方法，除特殊情况下在上面说的“控制台”中 添加外，主要采用以 下两种方法来打开：1是点“开始”“运行”输入 s

2、ecpol.msc点确定；2是“控制面板”“管 理工具”“本地安全策略”。打开“本地安全策略”对话框就能在左边的窗口中看到“ IP安全策略， 在本地计算机” 了。右击它，在它的下级菜单IP安全策略中能看到“创建IP安全策略”和“管理IP筛选器表和筛选器操作”等菜单（也可以在此 级菜单中的“所有任务”项的下级菜单中看到上面的两个菜单）。我们的IP安全策略主要在用于QV同网段IP隔离这两个菜单下操作。对“创建IP安全策略”的操作，可先做也可以后做。先做呢，没有内 容，只能建一个空的策略放在那里，等“筛选器列表”和“筛选器”有了内容，再添加进去；后做呢， 就能在建好自己的IP安全策略后马上把刚才做好

3、的“筛选器”和“筛选器操作”添加进去。所以通常 把它放到后面去做，这里也把它放到后面去做。三、建立新的筛选器:1、在“IP安全策略，在本地计算机”的下级菜单中选择“管理IP筛选器和筛选器操作”菜单，打开“管理IP筛选器和筛选器操作”对话框，里面有两个标签：“管理IP筛选器列表”和“管理筛选器操作”。选择“管理IP筛选器列表”标签，在“IP筛选器列表”下的文本框下面能看到三个按钮：“添加”、“编辑”和“删除”。页脚内容23* 51* I?Wi<E.> M.%n*Mmm力 .全招理MtsUSehir ldifi4«站EE】E«*J讦壬X廊i-通UMBJfflS &#

4、39;Wtir巾啪壮艮工ft? u “rfilrm1世管理安全删选器列表文件更I技作因 宜春吟 到肚199区艮白.量生就宣 4 HFg1- R亦填岚55，-1心目特本 ，找忤限就柒生T, it =LiM«i IL春及T眠 右,高沔H现ir哥霹铢麦。m洪察柞?|x_4 :燃疆也阡谢 副甘川户硒 归附，监.，前n I f可用的TF两I微上®黄析有的TT 西|斶共王.IP市立争土Kl 名ft:fM Tfflp 曲ML 喻' 升ffi'rlft口£品1 尊式与任阿其也讨. 由帝，甘典而府低苴一计aa ar 拙踪如2、点“添加”按钮，打开叫做“ IP筛选器列

5、表”的对话框，里面有三个文本框，从上到下分别是:称”、“描述”和“筛选器”。在“名称”和“描述”文本框右边，能看到“添加”、“编辑”和“删除” 三个按钮（对没有内容的筛选器而言，它的“编辑”和“删除”按钮不可用） ，在这三个按钮下有一个复选框，复选框后面有“使用添加向导”这样的文本说明。3、取消默认的对“使用 添加向导”的勾选，在“名称”下面的文本框中把默认的“新 IP筛选器列 表”修改成下面要建立的筛选器列表的名称，我们这里先输入： “病毒常驻端口”，在“描述”下面的 空白文本框中输进去“病毒常驻端口”后面的全部端口号（可以用复制、粘贴来操作） ，主要作用是便 于下一步对照着添加作为“筛选器

6、”具体内容的“端口”。这时可以点“确定”按钮，保存本“筛选器” （ 但由于它没有任何内容，所以会蹦出来“ IP筛选器列表警告”对话框，提示“这个IP筛选器列表是空 的。没有匹配的IP数据包。您想吗？” ，因为保存是目的，所以选择“是”。占击“是”八、JJLJ ACL4、这里我们不点“确定”，不保存空的筛选器，直接向“筛选器”下面的文本框中添加本筛选器要操 作的端口。这个文本框中是不能直接用输入法输入、编辑的，具体方法见下一步。四、添加“筛选器”要操作的端口：1、点“IP筛选器列表”对话框中的“添加”按钮，打开“筛选器 属性”对话框。这个对话框里面有 三个标签：“寻址”、“协议”和“描述”。2、

7、在“寻址”标签下有两个选项框和一个复选框。从上到下是“源地址”选项框、“目标地址”选项框和“镜像。同时与源地址和目标地址匹配”复选框。因为我们现在要做的是“进入端口”的阻止设置，也就是要阻止病毒、木马从这些端口联系或叫“进入”咱们的系统，所以我们在“源地址”下选择“任何IP地址”，在“目标地址”下选择“我的IP地址”，取消对“镜像”复选框的勾选； 如果是做“出端口”则在“源地址”下选择“我的 IP地址”，在“目标地址”下选择“任何IP地址”， 同样不选择“镜像”。寻址协议描述篇选镌且性源地址）:我的IP地址标地址也机 任何1P地蚯镜漆回酎写源地址而自标地址正科相反的数据笆梢匹配而3nv r&#

8、171; mi lira vn I iwbiii »* rnaurBill » nrn « miianHiBiiii m iih ii rni，nn，rmiiiiaw，i，tbii i aan mr btii larwiBp3、在“协议”标签下，默认状态下只有“选择协议类型”选项框可操作。点一下选项框右边的小三角按钮，打开选项列表，根据端口的协议类型来选择（我们可以操作的主要是“ TCP和"UDP,在下面 所列的“要做的筛选器”下要做的筛选器列表如：“病毒常驻端口”、“打印与共享”等，在它们下面所列的端口号前面都用括号把相应的类型做了标记）。选择了类型后

9、，下面的“设置 IP协议端口”成为 可选状态，咱们是在做不允许别人进，所以就在上半部保留默认选择的“从任意端口”，在下半部选择“到此端口” （这里所说的“选择”操作就是在复选框前的小圆框里点上一个小黑点，就算选上啦），选择之后它下面的文本框变成可操作状态，在里面输入一个端口。因为每次只能输入一个端口，所以咱们要做多少个端口就得操作多少次。 这一步如果是做“出端口”，则应在选择好“协议类型”后在“设 置IP协议端口”的上半部选择“从此端口” ，然后输入一个端口，下半部保留默认选择的“到任意端J工在工芭* ij»脩下将属( W本生瑞+ -1;胡用电+找件陛制萧军鼻r KU7 /岫1寻址栉

10、射工属曲典祭阻力 MMM*盘霞If明际口:'* 4巴点希口通 r jArnniy.到三填至口 口，到tQk4、在“描述”标签下只有一个“描述”文本输入框。可以在里面输入自己心仪的描述。通常只对入端 口做描述：阻止任意地址任意端口访问我的 *端口。然后点“确定”，完成对这个端口的操作。因为 在“描述”标签下只能点“确定”按钮而不能按“回车”键确定，所以想加快速度，可以先做描述， 再做协议，端口输入“回车”就“确定” 了。也可以不作描述，这样更快。5、确定后，在“ IP筛选器列表”对话框下的“筛选器”下的文本框中就能看到刚才添加的“筛选器”了。这里说的“筛选器”，事实上就是我们刚才添加的“

11、端口” ，可以拖动下面的滚动条查看咱们刚才 或叫以前输入的内容是否正确，如果有误，可以双击它打开进行修改。也可以选中它后点“编辑”按 钮进行修改，当然也可以点“删除”按钮删除它。关闭6、”病毒常驻端口”后所列的端口添加完后，在“ IP筛选器列表”对话框下点“确定”按钮，完成对“病毒常驻端口”的操作管理IP麻造器丧和笄选器操作回又自理ir隔庞艳冽表 管也谛情器操作_此对话任允评您创建并版炉描，出正的河第逋信的ip筋 季 选器列表.可用的If施选器列表被祈有的I?寰生策咯共事口ir瑜也图列表U；描注名怵icwTlTHB'33W所有ip通汛量匹配运力苴矶均任何再跑.匹配设计算矶到任何K1ui

12、+.新Q)二辑翱除粤 关闭 j五、如法炮制，完成对全部筛选器的添加：完成对“病毒常驻端口”的操作后，返回到“三” -“2”之步骤，继续添加“打印与共享端口”等，直到把木马入、出端口、以及自己想要添加的任何端口如数添加完成。六、创建“ IP安全策略”并添加“筛选器”和“筛选器操作”：1、创建“IP安全策略”。在“本地安全设置”对话框中左边的树状图中找到“IP安全策略，在本地计算机”，右击，选择“创建IP安全策略”，出来“ IP安全策略向导”对话框；点“下一步”，出现副 标题为“IP安全策略名称 命名”的对话框，下面有两个文本框，自上而下是“名称”和“描述”。这里不用描述，直接在“名称”下输入自己

13、心仪的名字就行，为表述方便，假定取名为“我的IP安全策略”；点“下一步”，出来副标题为“安全通讯请求 指定”的对话框，只有一个“激活默认响应 规则”的复选框，取消对它的默认勾选，点“下一步”，到“完成”对话框，也只有一个“编辑属性” 的复选框，取消对它的默认勾选，点“完成”。这样在“本地安全设置”对话框右边的名称标签栏下的 列表中就能看到咱们新建的、自己定义的“我的IP安全策略” 了。洋“地安至炭雀输入名称，点击下一步取消默认取消默认2、选中它，点操作菜单，点“属性”；或右击它点“属性”；或双击打开它，出来“我的IP安全策略属 性”对话框。里面有两个标签：“规则”和“常规”。我们只对“规则”做

14、操作。在“规则”下只有一 个“IP安全规则”文本框，同样这里不能直接输入，点下面的“添加”按钮，出来“新规则属性”对话框，里面有五个标签，我们需要操作的是“ IP筛选器列表”和“筛选器操作”标签。选择“ IP筛选 器列表”标签，在“ IP筛选器列表”文本框中能看到刚才创建“病毒常驻端口”等筛选器了。取消点选“添加向导”°文件如曲作如昔百旧钳船® 向能,目陪闻国土,iUH躁上策/HU，国if宣i»w里.1牌选曼PJft|鼻MMfe花|看的£曲覆|»1£塞口 Eh>堂N谢i« 无金加 金撅5一.J r «,制阿导

15、"/英划|迎更二| >1生件上）检作随者言中誓助区向x西反食迂之与四小，*U Wtsm 砸原曲I身份船12方考触苜设岂底片型S!n用£毛辰H：函口 m*空际门O所专工评iMittBrO所芍：ef道祖呈制n叫0监聊电推小第印见法计时与任刘声ttV-tt的恭汁黄就狗仔轲苴乜计苴3、选择第一个或最后一个（因为每次只能添加一个，这样方便下面依次操作），为方便表述，咱们假设选择“病毒常驻端口”。这里的“选择”，指的是在筛选器前面的复选圈中点上小黑点，这样就“选 择”上了。4、选择上后，不做任何操作，转而选择“筛选器操作”标签，这里有个“筛选器操作”列表框，我们要到这里去选择“阻

16、止”。通常这里没有“阻止”，这就需要添加。点列表框下的“添加”按钮，出来“新筛选器操作属性”对话框，下面有两个标签，“安全措施”和“常规”。在“安全措施”下找到“阻 止”，在它前面的复选框中点上黑点，再选择“常规”标签，把“名称”下文本框中默认的“新筛选器 操作”改为“阻止”。点“确定”，自动返回到“筛选器操作”标签，这下在“筛选器操作”列表框中 看到“阻止” 了，把它前面的复选圈中点上黑点（选中它），点“确定”。5、点“确定”后，自然返回到“我的IP安全策略”对话框，这下在“ IP安全规则”下的“ IP筛选器 列表”下就能看到刚才添加上的“筛选器操作”为阻止的筛选器了。七、如法炮制，完成对“

17、 IP筛选器列表”中所有筛选器的添加：返回“六” “ 2”的步骤，事实上只 要不停电，或没有关闭窗口，目前应该就在这一步，点“ IP安全规则”列表框下的“添加”按钮，把“IP筛选器列表”中所有的，事实上也是我们刚才做的筛选器逐一、全部添加进去。八、指派“我的IP安全策略”：上面的工作完成后，回到“本地安全设置”对话框，在右边的名称标 签栏下找到“我的IP安全策略”，选中它，到“操作”菜单或右击它，选择“指派”。至此大功告成！附：要做的筛选器病毒常驻端口:(UDP 1026 69 (TCP 135 443 4444打印与共享端口：(UDP 137 138 (TCP 139 445木马入端口 ：

18、木马入 1 (TCP 1433 10067 10167 12345 12346 20034 26274 3129 3389 3700 30100-30102 313； 31785 31787-31789 31791 31792 40421-40425 47262 5321 5400-5402 5569 54320 54321 666 6400 6969 6970 7300 7626 9872-9875 9989木马入 2(TCP 143 1001 1011 1025 1033 1170 1234 1243 1429 1600 1807 1981 1999 11000 11223 1207(12

19、361 16969 19191 21 23 25 2000 2001 2003 2115 2140 2583 2801 20000 20001 21554 22222 23456 27374 31 3128 3150 3210 3333 3996 30303 3099931338木马入 3(TCP 31339 31666 33333 34324 456 4060 4092 4321 4590 40412 40426 43210 44445 555 50005550 5632 5742 50766 53001 6267 6670 6671 6711 6776 6883 61466 65000 79 7000 7301 7306 7307 7308 778 80 99 9400 9401 9402其它入 (UDP 139 1433 445 53 TCP 113 121 1029 1068 1080 1092 2023 20168 23444 23445 30129 4899 49( 43958 45576 53 520 5001 5554 5800 5900 50505 660 6000 6129 6771 6939 707 7511 808 8011 8102 8888 999( 9996木马出端口： 木马出 1 (TCP 143