利用“IP安全策略管理单元”实现简易防火墙.doc

利用“IP安全策略管理单元”实现简易防火墙一、任务描述利用Windows2000/XP控制台中的IP安全策略管理单元实现阻止某一特定的IP地址对本机的任何基于TCP协议的访问。二、 步骤概要：1添加IP安全策略管理单元；2添加IP筛选器表；3添加IP筛选器操作；4创建IP安全策略；5应用IP安全策略。三、详细步骤1 添加IP安全策略管理单元此步要完成的工作：在控制台中加入IP安全策略管理单元。（1） 选择“开始”-“运行”命令；在“运行”对话框中输入mmc，单击“确定”按钮，出现“控制台1”窗口，如图1.1。选择菜单上的“文件”-“添加/删除管理单元”命令，出现“添加/删除管理单元”对话框，如图1.2。（2） 在“添加/删除管理单元”对话框中，选择“独立”标签页，在“管理单元添加到”下拉列表框中，选择“控制台根节点”选项，单击添加按钮，出现“添加独立管理单元”对话框如图1.3所示。（3） 于“添加独立管理单元”对话框中，在“可用的独立管理单元”列表框中选择“IP安全策略管理”选项，单击“添加”按钮；在出现的“选择计算机”对话框中，单击“本地计算机”单选按钮，然后单击“完成”按钮；自动返回到“添加独立管理单元”对话框。（4） 在“添加独立管理单元”对话框中，单击“关闭”按钮，返回“添加/删除管理单元”对话框；单击“确定”按钮，返回“控制台1”窗口，如图1.4所示。至此“添加IP安全策略管理单元”步骤结束。图1.1“控制台1”窗口图1.2 “添加/删除管理单元”对话框图1.3“添加独立管理单元”对话框图1.4 添加了IP安全策略的“控制台1”窗口2 添加IP筛选器表此步所完成的工作：在筛选器列表中建立筛选器操作对象的定义。（1）在图1.4所示的窗口中，选中左边窗口的“IP安全策略，在本地计算机”右击，从弹出菜单中选择“管理IP筛选器表和IP筛选器操作”单击，出现如图2.1所示的“管理IP筛选器表和IP筛选器操作”对话框。（2）在“管理IP筛选器表和IP筛选器操作”对话框中，选择“管理IP筛选器列表”标签页，单击“添加”按钮，出现如图2.2所示的“IP筛选器列表”对话框。在此对话框中输入IP筛选器的名称与描述，取消选择“使用“添加向导”(W) ”复选框，单击添加按钮，出现如图2.3所示的“筛选器属性”对话框，对此筛选器进行设定。（3）在“筛选器属性”对话框中，选择“寻址”标签页，在“源地址”下拉列表框中选择“我的IP地址”选项，在“目标地址”下拉列表框中选择“一个特定的IP地址”选项。当“目标地址”选择“一个特定的IP地址”时，“IP地址”文本框可用，需要输入要屏蔽的特定IP地址。需要说明的是：默认情况下，“IP筛选器”的作用是单向的，如源地址是A，目标地址是B，则本筛选器只对AB的包进行筛选器操作，对反方向的包不作处理，直接通过；选中“镜像”复选框，则本筛选器对AB的包都作处理。（4）选择“筛选器属性”对话框的“协议”标签页，在“选择协议类型”下拉框中选择欲处理的协议，如“TCP”，意味着本筛选器仅对TCP协议的包进行筛选器操作，不对其他协议（如UDP、ICMP）做任何操作；在“设置IP协议端口：”栏中设置相应的端口，如图2.4所示。（5）在“筛选器属性”对话框的“描述”标签页的文本框中输入本筛选器列表的说明文字。单击“确定”按钮，返回到“IP筛选器列表”窗口，如图2.5所示。“屏蔽特定IP对本机的访问”被加入了筛选器列表。 至此“添加IP筛选器表”步骤结束。图2.1“管理IP筛选器表和IP筛选器操作”对话框 图2.2“IP筛选器列表”对话框图2.3“筛选器属性”对话框图2.4 “筛选器属性”对话框的协议标签页图2.5加入了“屏蔽特定IP对本机的访问”的筛选器列表对话框3 添加IP筛选器操作此步所完成的工作：在第2步完成后，仅将一个特定的IP地址“172.17.244.237”和主机之间的TCP包的流通这样一个操作对象加入到IP筛选器列表中，至于做何操作还没有定义；这一步将完成操作的定义。（1）在图1.4所示的窗口中，选中左边窗口的“IP安全策略，在本地计算机”右击，从弹出菜单中选择“管理IP筛选器表和IP筛选器操作”单击，出现如图3.1所示的“管理IP筛选器表和IP筛选器操作”对话框。（2）在图3.1 “管理IP筛选器表和IP筛选器操作”对话框的“管理IP筛选器列表”标签页选择第2步建立“屏蔽特定IP对本机的访问”筛选器选项；然后选择“管理筛选器操作”标签页，如图3.2所示，单击“添加”按钮，出现如图3.3所示的“新筛选器操作属性”对话框。（3）在“新筛选器操作属性”对话框的“安全措施”标签页中，选择“阻止”单选按钮，如图3.3所示。在“常规”标签页中输入筛选器操作的名称与描述。如图3.4所示。单击“确定”按钮。到此，“阻止”操作被加入到筛选器操作中。如图3.5所示。 至此，“添加IP筛选器操作”完成。图3.1“管理IP筛选器表和IP筛选器操作”对话框图3.2选择了“管理器操作属性”标签页的“管理IP筛选器表和筛选器操作”对话框图3.3“新筛选器操作属性”对话框图3.4 筛选器操作属性的“常规”标签图3.5 筛选器操作设置完成4 创建IP安全策略此步骤的工作：筛选器操作对象和筛选器操作已分别在第2、3步完成，这一步的工作就是将两者结合起来，发挥防火墙的作用。（1） 在图1.4所示的“控制台1”窗口中，选中左边窗口的“IP安全策略，在本地计算机”右击，从弹出菜单中选择“创建IP安全策略”单击，出现“IP安全策略向导”对话框；在如图4.1所示的“IP安全策略向导”对话框中输入IP安全策略的名称和描述。（2） 单击“下一步”，出现如图4.2所示的对话框；取消选择“激活默认的响应规则”复选框；单击“下一步”，出现如图4.3所示的对话框，选择“编辑属性”复选框，单击“完成”按钮，出现如图4.4所示的“我的IP安全策略属性”对话框（注意，这个对话框的标题是在“IP安全策略向导”中输入的IP安全策略的名称）。（3） 在“我的IP安全策略属性”对话框的“规则”标签页中，单击“添加”按钮，出现如图4.5所示的“新规则属性”对话框。（4） 在“新规则属性”对话框的“IP筛选器列表”标签页中，选择由第2步所建立的IP筛选器操作对象“屏蔽特定IP对本机的访问”单选按钮，如图 4.5所示；在“筛选器操作”标签页中，选择由第3步所建立的IP筛选器操作“阻止172.17.244.237对本机的访问”单选按钮，如图4.6所示。单击“确定”按钮，返回“我的IP安全策略属性”对话框，如图4.8所示，可以看到新的规则已经建立。至此，“创建IP安全策略”已经完成，也就是将自己创建的IP筛选器操作对象和IP筛选器操作结合起来，作为一个IP安全策略。图4.1“IP安全策略向导”对话框图4.2“IP安全策略向导”对话框图4.3“IP安全策略向导”对话框图4.4“我的IP安全策略属性”对话框图4.5“新规则属性”对话框图4.6“新规则属性”对