一、 IPSec 平安战略 " 防 Ping" 还是要慎用
经过对 IPSec 平安战略简单的几步配置,使用 IPSec 平安战略 “ 防 Ping 大家常用的一种方法。就可以实现防 Ping 效果。该方法配置比较简单,并且 IPSec 平安战略是 window 系统内置的一个功能组件,不需要额外装置,因此得到不少用户的喜爱。但这里笔者还是要提醒大家,使用 IPSec 平安战略 “ 防 Ping 还是要慎用。
为什么这么说呢 ? 首先我看看 IPSec 平安战略是如何 “ 防 Ping 其原理是通过新建一个 IPSec 战略来过滤掉本机所有的 ICMP 数据包实现的这样确实是可以有效的防 Ping 但同时也会留下后遗症。
ICMP 协议的应用中包含有 11 种报文格式,因为 Ping 命令和 ICMP 协议 ( Internet Control and Messag Protoc 有着密切的关系。其中 Ping 命令就是利用 ICMP 协议中的 Echo Request 报文进行工作的但 IPSec 平安战略防 Ping 时采用格杀勿论的方法,把所有的 ICMP 报文全部过滤掉,特别是很多有用的其它格式的报文也同时被过滤掉了因此在某些有特殊应用的局域网环境中,容易出现数据包丢失的现象,影响用户正常办公,因此笔者建议大家还是要慎用 IPSec 平安战略 “ 防 Ping
二、使用第三方防火墙工具
为了保证外地机器发出的数据包通过网络被正确的传送给目标主机,大家已经知道了 IPSec 平安战略 “ 防 Ping 缺乏之处。大家可以采用别的更加有效的方法,如使用网络防火墙 “ 防 Ping
使用个人网络防火墙 “ 防 Ping 最简单的一种方法。应用此方法 “ 防 Ping 不需要进行复杂的设置,对于一般的上网用户来说。只要你正确配置好防火墙内置的防 Ping 规则,就可以轻松实现 “ 防 Ping 目的个人网络防火墙的种类较多,几乎都可以有效实现 “ 防 Ping 如瑞星个人网络防火墙、 window 防火墙 ( 或 ICF 等,下面以瑞星个人网络防火墙为例,介绍如何配置防火墙实现 “ 防 Ping 目的
主窗口中点击 “ 设置 → 设置规则 ” 选项,运行瑞星个人网络防火墙主程序后。弹出 “ 瑞星个人网络防火墙规则设置 ” 窗口,规则列表中一定要选中 “ 缺省的 ICMP 入站 ” 规则,接着双击此规则,弹出 “ 规则属性 ” 对话框,这里大家可以进行详细参数设置,类别 ” 框中选中 “ 系统 ” 选项,方向 ” 框中选择 “ 接收 ” 选项,协议 ” 框中一定要选中 Ping 命令使用的 ICMP 协议了操作框中选择 “ 禁止 ” 选项。这里要注意 ICMP 报文类型的选择,切换到 ICMP 类型 ” 标签页中,类型 ” 下拉列表框中一定要选择 “ Echo Request 项,最后点击 “ 修改 ” 按钮,保管设置。这样瑞星个人网络防火墙就可以过滤掉, Ping 命令所使用的名为 “ Echo Request ICMP 报文了而别的有用的 ICMP 报文则可以平安通过。完成以上设置后,就实现了利用个人网络防火墙有效 “ 防 Ping 目的
三、使用 “ 路由与远程访问 ” 组件
个人网络防火墙就很难满足他需要了这时你就要使用企业级的网络防火墙 “ 防 Ping 如 ISA 2004 等,对于局域网用户来说。但对于一些小型局域网来说,这些企业级防火墙过于昂贵,难以接受,其实利用 Window 2000/Server 2003 服务器操作系统的路由和远程访问 ” 组件就能解决这个问题,并且该组件是 window 系统内置的不需要额外购买。
介绍如何利用 “ 路由和远程访问 ” 组件 “ 防 Ping 大家都知道,下面以 Window Server 2003 系统为例。路由和远程访问 ” 组件内置了路由表管理、 VPN 服务、 IP 报文过滤等功能,默认情况下, Window Server 2003 系统并没有启用路由和远程访问服务,所以要首先手工启用它 window Server 2003 网关服务器中,进入到控制面板 → 管理工具 ” 窗口,运行 “ 路由和远程访问 ” 工具,路由和远程访问 ” 主窗口中,右键点击 “ 外地 ” 服务器,弹出的菜单中选择 “ 配置并启用路由及远程访问 ” 选项,接着在路由及远程访问服务器装置向导 ” 对话框中点击 “ 下一步 ” 按钮,选择 “ 自定义配置 ” 选项,然后点击 “ 下一步 ” 接下来的窗口中选择 “ LA N 路由器 ” 选项,最后点击 “ 完成 ” 按钮。
接着在惯例 ” 框体中右键点击接入互联网的那块网卡,路由和远程访问 ” 主窗口中依次展开 “ IP 路由选择 → 惯例 ” 选项。选择 “ 属性 ” 选项,然后在属性对话框中点击 “ 入站筛选器 ” 按钮,弹出 “ 入站筛选器 ” 对话框后,选择 “ 接收所有除符合下列条件以外的数据包 ” 选项,下面点击 “ 新建 ” 按钮,弹出 “ 添加 IP 筛选器 ” 对话框,协议下拉列表框中选择 “ ICMP 协议,接着在 ICMP 类型 ” 和 “ ICMP 代码 ” 栏中分别输入 “ 8 和 0 最后点击 “ 确定 ” 按钮。其中 ICMP 类型为 “ 8 ICMP 代码为 “ 0 报文就是 Ping 命令所使用的 Echo Request 报文,最后点击 “ 确定 ” 按钮,完成 “ 防 Ping 设置。
.- 上一篇:EIGRP平等开销负载均衡的实现
- 下一篇:巧查系统进程揪出病毒木马