使用Windows2000中的IPSecIP篩選器列表

您可以使用 Internet 協(xié)議安全 (IPSec) 來(lái)保護(hù)基于 Windows 2000 的計(jì)算機(jī)上的網(wǎng)絡(luò)通信。IPSec 適用于基于 IPSec 策略的通信。您可以使用 IPSec 策略來(lái)確定何時(shí)應(yīng)使用 IPSec 保護(hù)計(jì)算機(jī)之間的通信。還可以使用 IPSec 策略控制允許進(jìn)出計(jì)算機(jī)網(wǎng)絡(luò)接口的數(shù)據(jù)包。
    IPSec 策略基于兩個(gè)元素：
    • IP 篩選器列表
    • IP 篩選器操作
    Internet 協(xié)議 (IP) 篩選器列表是一個(gè)協(xié)議和文件夾的列表。例如，您可以創(chuàng)建一個(gè)允許所有計(jì)算機(jī)訪問(wèn)本地接口上的 TCP 端口 80 的篩選器列表項(xiàng)。同一篩選器列表中的另一項(xiàng)可能允許訪問(wèn)本地接口上的 TCP 端口 25，而第三個(gè)篩選器列表項(xiàng)可能允許訪問(wèn)本地接口上的用戶數(shù)據(jù)報(bào)協(xié)議 (UDP) 端口 53。
    如果到達(dá)計(jì)算機(jī)接口的數(shù)據(jù)包在篩選器列表 上有一個(gè)相匹配的項(xiàng)，IPSec 策略代理將應(yīng)用您分配給該篩選器列表的篩選器操作。例如，如果向上述篩選器列表分配一個(gè)“阻止”篩選器操作，那么，任何發(fā)往 TCP 端口 80、TCP 端口 25 或 UDP 端口 53 的數(shù)據(jù)包都將被阻止。不過(guò)，如果向上述篩選器列表分配一個(gè)“允許”篩選器操作，則允許數(shù)據(jù)包發(fā)往 TCP 端口 80、TCP 端口 25 或 UDP 端口 53。
    您可以使用 IPSec 篩選器列表和篩選器操作來(lái)有效地控制對(duì)所有接口的訪問(wèn)。注意，IPSec 策略將應(yīng)用于多主計(jì)算機(jī)上的所有接口。您不能有選擇性地將 IPSec 策略應(yīng)用于特定接口。
    Windows 2000 包括下面兩個(gè)默認(rèn)的 IP 篩選器列表：
    • 所有 ICMP 通訊
    • 所有 IP 通訊
    有三種默認(rèn)的篩選器操作：
    • 允許
    • 請(qǐng)求安全設(shè)置（可選）
    • 需要安全設(shè)置
    返回頁(yè)首
    如何創(chuàng)建 IPSec 篩選器列表
    要?jiǎng)?chuàng)建應(yīng)用于入站 TCP 端口 80 和 TCP 端口 25 的 IPSec 篩選器列表，請(qǐng)執(zhí)行以下操作：
    1. 單擊 開(kāi)始 ，指向 程序 ，指向 管理工具 ，然后單擊 本地安全策略 。
    2. 單擊以展開(kāi) 安全設(shè)置 。
    3. 右鍵單擊左窗格中的 IP 安全策略 ，然后單擊“管理 IP 篩選器”。
    4. 單擊“管理 IP 篩選器列表和篩選器操作”對(duì)話框中的 管理 IP 篩選器列表 選項(xiàng)卡，然后單擊 添加 。
    5. 在 名稱 框中鍵入 入站 TCP 80 和 25 ，然后在 描述 框中鍵入 允許到 TCP 端口 80 和 25 的入站通信 。
    6. 單擊以清除 使用“添加向?qū)А?復(fù)選框，然后單擊 添加 以添加一個(gè)新的篩選器列表項(xiàng)。
    7. 單擊 尋址 選項(xiàng)卡。
    8. 在“源地址”框中單擊 任何 IP 地址 。
    9. 在“目標(biāo)地址”框中單擊 我的 IP 地址 。此配置指明該篩選器將應(yīng)用于入站數(shù)據(jù)包。
    10. 單擊以清除 鏡像 復(fù)選框。
    11. 單擊 協(xié)議 選項(xiàng)卡。
    12. 在“選擇協(xié)議類(lèi)型”框中單擊 TCP 。
    13. 單擊“從任意端口”，然后單擊“到此端口”。
    14. 在“到此端口”框中鍵入 80 。
    15. 單擊 應(yīng)用 ，然后單擊 確定 。
    16. 在 IP 篩選器列表 對(duì)話框中單擊 添加 。
    17. 單擊 尋址 選項(xiàng)卡。
    18. 在“源地址”框中單擊 任何 IP 地址 。
    19. 在“目標(biāo)地址”框中單擊 我的 IP 地址 。此配置指明該篩選器將應(yīng)用于入站數(shù)據(jù)包。
    20. 單擊以選中 鏡像 復(fù)選框。執(zhí)行此操作后，將創(chuàng)建一個(gè)具有相反的源和目標(biāo) IP 地址的篩選器。
    21. 單擊 協(xié)議 選項(xiàng)卡。
    22. 在“選擇協(xié)議類(lèi)型”框中單擊 TCP 。
    23. 單擊“從任意端口”，然后單擊“到此端口”。
    24. 在“到此端口”框中鍵入 25 。
    25. 單擊 應(yīng)用 ，然后單擊 確定 。
    26. 在 IP 篩選器列表 對(duì)話框中單擊 關(guān)閉 。
    返回頁(yè)首
    如何創(chuàng)建基于篩選器列表的 IPSec 策略
    要?jiǎng)?chuàng)建基于篩選器列表的 IPSec 策略，請(qǐng)執(zhí)行以下操作：
    1. 右鍵單擊左窗格中的 IP 安全策略 ，然后單擊 創(chuàng)建 IP 安全策略 。
    2. 在“歡迎使用 IP 安全策略向?qū)А敝袉螕?下一步 。
    3. 在 IP 安全策略名稱 對(duì)話框的 名稱 框中，鍵入 允許入站 TCP 80 和 25 ，然后單擊 下一步 。
    4. 單擊以清除“激活默認(rèn)響應(yīng)規(guī)則”復(fù)選框，然后單擊 下一步 。
    5. 在 正在完成 IP 安全策略向?qū)?對(duì)話框中，單擊以選中“編輯屬性”復(fù)選框（如果尚未選中），然后單擊 完成 。
    6. 單擊 規(guī)則 選項(xiàng)卡。
    7. 單擊以清除 使用“添加向?qū)А?復(fù)選框，然后單擊 添加 。
    8. 單擊 IP 篩選器列表 選項(xiàng)卡。
    9. 單擊“入站 TCP 80 和 25 IP 篩選器列表”左邊的 選項(xiàng) 。
    10. 單擊 篩選器操作 選項(xiàng)卡。
    11. 單擊 允許 左邊的 選項(xiàng) 。
    12. 單擊 應(yīng)用 ，然后單擊 確定 。
    13. “入站 TCP 80 和 25 篩選器列表”復(fù)選框被選中。單擊 關(guān)閉 。
    IPSec 策略檢查發(fā)往本地接口上的 TCP 端口 80 和 TCP 端口 25 的數(shù)據(jù)包，然后將這些數(shù)據(jù)包與允許數(shù)據(jù)包通過(guò)此接口的“允許”篩選器操作相匹配。
    注意 ：如果分配此策略，將允許所有通信，因?yàn)闆](méi)有阻止其他通信的“拒絕”規(guī)則。如果希望僅允許上述策略中指定的通信，則必須創(chuàng)建拒絕所有通信的“拒絕”規(guī)則。