您可以使用 Internet 协议安全 (IPSec) 来保护基于 Windows 2000 的计算机上的网络通信。IPSec 适用于基于 IPSec 策略的通信。您可以使用 IPSec 策略来确定何时应使用 IPSec 保护计算机之间的通信。还可以使用 IPSec 策略控制允许进出计算机网络接口的数据包。  

IPSec 策略基于两个元素：
•  IP 筛选器列表  
 •  IP 筛选器操作   
Internet 协议 (IP) 筛选器列表是一个协议和文件夹的列表。例如，您可以创建一个允许所有计算机访问本地接口上的 TCP 端口 80 的筛选器列表项。同一筛选器列表中的另一项可能允许访问本地接口上的 TCP 端口 25，而第三个筛选器列表项可能允许访问本地接口上的用户数据报协议 (UDP) 端口 53。  

如果到达计算机接口的数据包在筛选器列表 上有一个相匹配的项，IPSec 策略代理将应用您分配给该筛选器列表的筛选器操作。例如，如果向上述筛选器列表分配一个“阻止”筛选器操作，那么，任何发往 TCP 端口 80、TCP 端口 25 或 UDP 端口 53 的数据包都将被阻止。不过，如果向上述筛选器列表分配一个“允许”筛选器操作，则允许数据包发往 TCP 端口 80、TCP 端口 25 或 UDP 端口 53。  

您可以使用 IPSec 筛选器列表和筛选器操作来有效地控制对所有接口的访问。注意，IPSec 策略将应用于多主计算机上的所有接口。您不能有选择性地将 IPSec 策略应用于特定接口。  

Windows 2000 包括下面两个默认的 IP 筛选器列表： 
•  所有 ICMP 通讯  
•  所有 IP 通讯   
有三种默认的筛选器操作： 
•  允许     
•  请求安全设置（可选）  
•  需要安全设置   

如何创建 IPSec 筛选器列表  
要创建应用于入站 TCP 端口 80 和 TCP 端口 25 的 IPSec 筛选器列表，请执行以下操作： 1.  单击 开始 ，指向 程序 ，指向 管理工具 ，然后单击 本地安全策略 。   
2.  单击以展开 安全设置 。   
3.  右键单击左窗格中的 IP 安全策略 ，然后单击“管理 IP 筛选器”。   
4.  单击“管理 IP 筛选器列表和筛选器操作”对话框中的 管理 IP 筛选器列表 选项卡，然后单击 添加 。   
5.  在 名称 框中键入 入站 TCP 80 和 25 ，然后在 描述 框中键入 允许到 TCP 端口 80 和 25 的入站通信 。   
6.  单击以清除 使用“添加向导” 复选框，然后单击 添加 以添加一个新的筛选器列表项。   
7.  单击 寻址 选项卡。   
8.  在“源地址”框中单击 任何 IP 地址 。   
9.  在“目标地址”框中单击 我的 IP 地址 。此配置指明该筛选器将应用于入站数据包。   
10.  单击以清除 镜像 复选框。   
11.  单击 协议 选项卡。   
12.  在“选择协议类型”框中单击 TCP 。   
13.  单击“从任意端口”，然后单击“到此端口”。   
14.  在“到此端口”框中键入 80 。   
15.  单击 应用 ，然后单击 确定 。   
16.  在 IP 筛选器列表 对话框中单击 添加 。   
17.  单击 寻址 选项卡。   
18.  在“源地址”框中单击 任何 IP 地址 。   
19.  在“目标地址”框中单击 我的 IP 地址 。此配置指明该筛选器将应用于入站数据包。   
20.  单击以选中 镜像 复选框。执行此操作后，将创建一个具有相反的源和目标 IP 地址的筛选器。   
21.  单击 协议 选项卡。   
22.  在“选择协议类型”框中单击 TCP 。   
23.  单击“从任意端口”，然后单击“到此端口”。   
24.  在“到此端口”框中键入 25 。   
25.  单击 应用 ，然后单击 确定 。   
26.  在 IP 筛选器列表 对话框中单击 关闭 。   

如何创建基于筛选器列表的 IPSec 策略  
要创建基于筛选器列表的 IPSec 策略，请执行以下操作： 1.  右键单击左窗格中的 IP 安全策略 ，然后单击 创建 IP 安全策略 。   
2.  在“欢迎使用 IP 安全策略向导”中单击 下一步 。   
3.  在 IP 安全策略名称 对话框的 名称 框中，键入 允许入站 TCP 80 和 25 ，然后单击 下一步 。   
4.  单击以清除“激活默认响应规则”复选框，然后单击 下一步 。   
5.  在 正在完成 IP 安全策略向导 对话框中，单击以选中“编辑属性”复选框（如果尚未选中），然后单击 完成 。   
6.  单击 规则 选项卡。   
7.  单击以清除 使用“添加向导” 复选框，然后单击 添加 。   
8.  单击 IP 筛选器列表 选项卡。   
9.  单击“入站 TCP 80 和 25 IP 筛选器列表”左边的 选项 。   
10.  单击 筛选器操作 选项卡。   
11.  单击 允许 左边的 选项 。   
12.  单击 应用 ，然后单击 确定 。   
13.  “入站 TCP 80 和 25 筛选器列表”复选框被选中。单击 关闭 。   
IPSec 策略检查发往本地接口上的 TCP 端口 80 和 TCP 端口 25 的数据包，然后将这些数据包与允许数据包通过此接口的“允许”筛选器操作相匹配。  

注意 ：如果分配此策略，将允许所有通信，因为没有阻止其他通信的“拒绝”规则。如果希望仅允许上述策略中指定的通信，则必须创建拒绝所有通信的“拒绝”规则。  .

• 上一篇:Adobe将以18亿美元收购化软件公司Omniture
• 下一篇:Win2k登录界面去除的方法

TAG: 筛选器 IPSEC WINDOWS 列表