IP安全策略：防范被Ping與封閉端口

隨著學校校園網越來越多人使用，用戶對網絡知識認知的提高，很多人在網上下載一些黑客工具或者用Ping命令，進行掃描端口、IP尋找肉機，帶來很壞的影響。

　　Ping命令它可以向你提供的地址發送一個小的數據包，然後偵聽這台機器是否有“回答”。查找現在哪些機器在網絡上活動。使用Ping入侵即是ICMP入侵，原理是通過Ping在一個時段內連續向計算機發出大量請求使得計算機的CPU占用率居高不下達到100%而系統死機甚至崩潰。基於此，寫這篇IP安全策略防Ping文章以保障自己的系統安全。

　　其實防Ping安裝和設置防火牆也可以解決，但防火牆並不是每一台電腦都會去裝，要考慮資源占用還有設置技巧。如果你安裝了防火牆但沒有去修改、添加IP規則那一樣沒用。有些配置不是很高為免再給防火牆占用資源用手工在自己系統中設置安全略是一個上上的辦法。

　　下面就寫下具體創建過程：

　　（一）創建IP安全策略

　　1、依次單擊“開始→控制面板→管理工具→本地安全策略”，打開“本地安全設置”，右擊該對話框左側的“IP安全策略，在本地計算機”選項，執行“創建IP安全策略”命令。（之間有些簡單的點擊下一步之類的過程省略不寫）

　　2、在出現的“默認響應規則身份驗證方法”對話框中我們選中“此字符串用來保護密鑰交換（預共享密鑰）”選項，然後在下面的文字框中任意鍵入一段字符串。（如“禁止 Ping”）

　　3、完成了IP安全策略的創建工作後在“IP篩選器列表”窗口中單擊“添加”按鈕，此時將會彈出“IP篩選器向導”窗口，我們單擊“下一步”，此時將會彈出“IP通信源”頁面，在該頁面中設置“源地址”為“我的IP地址”；“目標地址”為“任何IP地址”，任何IP地址的計算機都不能Ping你的機器。

　　在“篩選器屬性”中可封閉端口。比如封閉TCP協議的135端口：在“選擇協議類型”的下拉列表中選擇“TCP”，然後在“到此端口”下的文 本框中輸入“135”，點擊“確定”按鈕，這樣就添加了一個屏蔽 TCP 135（RPC）端口的篩選器，它可以防止外界通過135端口連上你的電腦。重復可封閉TCP UDP等自己認為需要封閉的端口。這裡不一一寫出。

　　4、依次單擊“下一步”→“完成”，此時，你將會在“IP篩選器列表”看到剛剛創建的篩選器，將其選中後單擊“下一步”，我們在出現的“篩選器操作”頁面中設置篩選器操作為“需要安全”選項。

　　（二）指派IP安全策略

　　安全策略創建完畢後並不能馬上生效，我們還需通過“指派”功能令其發揮作用。方法是：在“控制台根節點”中右擊“新的IP安全策略”項，然後在彈出的右鍵菜單中執行“指派”命令，即可啟用該策略。

　　至此，這台主機已經具備了拒絕其他任何機器Ping自己IP地址的功能，不過在本地仍然能夠Ping通自己。經過這樣的設置之後，所有用戶（包括管理員）都不能在其他機器上對此服務器進行Ping操作。從此你再也不用擔心被Ping威脅。如果再把一些黑客工具、木馬常探尋的端口封閉那你的系統就更加固若金湯了。