通过IP安全策略 WIN2003禁止PING

其实如果您用的是Windows server 2003，只要启用系统自带的防火墙就能解决问题。除此之外，还可以创建一个禁止所有计算机PING本机IP地址的安全策略同样可以达到上述目的。下文所述对WIN 2000比较合适，但限于笔者的机器环境，就以Windows server 2003为平台简述过程：

　　STEP1:添加IP筛选器和筛选器操作

　　依次单击[开始]→[管理工具]→[本地安全策略]，打开“本地安全设置”对话框。右击该对话框左侧控制台树的[IP安全策略，在本地计算机]选项，执行[管理IP筛选器表和筛选器操作]命令。在打开的对话框的[管理IP筛选器列表]标签下单击[添加]按钮，命名这个筛选器名称为“禁止PING”，描述语言可以为“禁止任何其他计算机PING我的主机”，然后单击[添加]按钮。接下来依次单击[下一步]→[下一步]，选择“IP通信源地址”为[我的IP地址]，单击[下一步]；选择“IP通信目标地址”为[任何IP地址]，单击[下一步]；选择“IP协议类型”为[ICMP]，单击[下一步]。单击[完成]→[确定]结束添加。然后切换到[管理筛选器操作]标签下，依次单击[添加]→[下一步]，命名筛选器操作名称为“阻止所有连接”，描述语言可以为“阻止所有网络连接”，单击[下一步]；点选[阻止]选项作为此筛选器的操作行为，最后单击[下一步]→[完成]→[关闭]完成所有添加操作。

　　STEP2:创建IP安全策略

　　右击控制台树的[IP安全策略，在本地计算机]选项，执行[创建安全策略]命令，然后单击[下一步]按钮。命名这个IP安全策略为“禁止PING主机”，描述语言为“拒绝任何其他计算机的PING要求”并单击[下一步]。然后在勾选[激活默认响应规则]的前提下单击[下一步]。在“默认响应规则身份验证方法”对话框中点选[使用此字符串保护密钥交换]选项，并在下面的文字框中键入一段字符串如“NO PING”，单击[下一步]。最后在勾选“编辑属性”的前提下单击[完成]按钮结束创建。

　　STEP3:配置IP安全策略

　　在打开的“禁止PING属性”对话框中的[常规]标签下单击[添加]→[下一步]，默认点选[此规则不指定隧道]并单击[下一步]；点选[所有网络连接]以保证所有的计算机都PING不通该主机，单击[下一步]。在“IP筛选器列表”框中点选[禁止PING]，单击[下一步]；在“筛选器操作”列表框中点选[阻止所有连接]，依次单击[下一步]；取消“编辑属性”选项并单击[完成]结束配置。

　　STEP4:指派IP安全策略

　　安全策略创建完毕后并不能马上生效，我们还需通过“指派”使其发挥作用。右击“本地安全设置”对话框右侧的[禁止PING主机]策略，执行“指派”命令即可启用该策略。

　　至此，这台主机已经具备了拒绝其他任何机器PING自己IP地址的能力了，不过在本地PING自身仍然相通。而且经过这样的设置以后，所有用户包括管理员自己要想在其他机器上PING主机的IP地址可就困难了。限于技术水平，笔者暂时无法提供在IP安全策略下的用户权限划分，希望有相关经验的朋友补充指正。

最新评论