一、IPSec安全策略“防Ping”,还是要慎用
使用IPSec安全策略“防Ping”,是大家常用的一种方法,经过对IPSec安全策略简单的几步配置,就可以实现防Ping的效果。该方法配置比较简单,并且IPSec安全策略是Windows系统内置的一个功能组件,不需要额外安装,因此得到不少用户的喜爱。但这里笔者还是要提醒大家,使用IPSec安全策略“防Ping”,还是要慎用。
为什么这么说呢?首先我们看看IPSec安全策略是如何“防Ping”的,其原理是通过新建一个IPSec策略来过滤掉本机所有的ICMP数据包实现的。这样确实是可以有效的“防Ping”,但同时也会留下后遗症。
因为Ping命令和ICMP协议(Internet Control and Message Protocal)有着密切的关系,在ICMP协议的应用中包含有11种报文格式,其中Ping命令就是利用ICMP协议中的“Echo Request”报文进行工作的。但IPSec安全策略防Ping时采用格杀勿论的方法,把所有的ICMP报文全部过滤掉,特别是很多有用的其它格式的报文也同时被过滤掉了。因此在某些有特殊应用的局域网环境中,容易出现数据包丢失的现象,影响用户正常办公,因此笔者建议大家还是要慎用IPSec安全策略“防Ping”。
二、使用第三方防火墙工具
大家已经知道了IPSec安全策略“防Ping”的不足之处,为了保证本地机器发出的数据包通过网络被正确的传送给目标主机,大家可以采用别的更加有效的方法,如使用网络防火墙“防Ping”。
对于一般的上网用户来说,使用个人网络防火墙“防Ping”是最简单的一种方法。应用此方法“防Ping”不需要进行复杂的设置,只要你正确配置好防火墙内置的“防Ping”规则,就可以轻松实现“防Ping”的目的。个人网络防火墙的种类较多,几乎都可以有效实现“防Ping”,如天网个人防火墙、瑞星个人网络防火墙、Windows防火墙(或ICF)等,下面笔者以瑞星个人网络防火墙为例,介绍如何配置防火墙实现“防Ping”目的。
运行瑞星个人网络防火墙主程序后,在主窗口中点击“设置→设置规则”选项,弹出“瑞星个人网络防火墙规则设置”窗口,在规则列表中一定要选中“缺省的ICMP入站”规则,接着双击此规则,弹出“规则属性”对话框(如图1),在这里大家可以进行详细参数设置,在“类别”框中选中“系统”选项,“方向”框中选择“接收”选项,“协议”框中一定要选中Ping命令使用的“ICMP”协议了,操作框中选择“禁止”选项。这里要注意ICMP报文类型的选择,切换到“ICMP类型”标签页中,在“类型”下拉列表框中一定要选择“Echo Request”项,最后点击“修改”按钮,保存设置。这样瑞星个人网络防火墙就可以过滤掉,Ping命令所使用的名为“Echo Request”的ICMP报文了,而别的有用的ICMP报文则可以安全通过。完成以上设置后,就实现了利用个人网络防火墙有效“防Ping”的目的。
图1 设置瑞星个人防火墙
三、使用“路由与远程访问”组件
对于局域网用户来说,个人网络防火墙就很难满足他们的需要了,这时你就要使用企业级的网络防火墙“防Ping”,如ISA 2004等,但对于一些小型局域网来说,这些企业级防火墙过于昂贵,难以接受,其实利用Windows 2000/Server 2003服务器操作系统的“路由和远程访问”组件就能解决这个问题,并且该组件是Windows系统内置的,不需要额外购买。
下面笔者以Windows Server 2003系统为例,介绍如何利用“路由和远程访问”组件“防Ping”。大家都知道,“路由和远程访问”组件内置了路由表管理、VPN服务、IP报文过滤等功能,默认情况下,Windows Server 2003系统并没有启用路由和远程访问服务,所以要首先手工启用它。在Windows Server 2003网关服务器中,进入到“控制面板→管理工具”窗口,运行“路由和远程访问”工具,在“路由和远程访问”主窗口中,右键点击“本地”服务器,在弹出的菜单中选择“配置并启用路由及远程访问”选项,接着在“路由及远程访问服务器安装向导”对话框中点击“下一步”按钮,选择“自定义配置”选项,然后点击“下一步”,在接下来的窗口中选择“LAN路由器”选项,最后点击“完成”按钮。
在“路由和远程访问”主窗口中依次展开“IP路由选择→常规”选项,接着在“常规”框体中右键点击接入互联网的那块网卡(如图2),选择“属性”选项,然后在属性对话框中点击“入站筛选器”按钮,弹出“入站筛选器”对话框后,选择“接收所有除符合下列条件以外的数据包”选项,下面点击“新建”按钮,弹出“添加IP筛选器”对话框(如图3),在协议下拉列表框中选择“ICMP”协议,接着在“ICMP类型”和“ICMP代码”栏中分别输入“8和0”,最后点击“确定”按钮。其中ICMP类型为“8”、ICMP代码为“0”的报文就是Ping命令所使用的“Echo Request”报文,最后点击“确定”按钮,完成“防Ping”设置。
图2 选择连通网络的网卡
图3 添加IP筛选器
以上笔者介绍了几种不同的“防Ping”方法,分别适用于不同的网络环境,如果你感兴趣的话,不妨试试。
,自由广告区 |
分类导航 |
邮件新闻资讯: IT业界 | 邮件服务器 | 邮件趣闻 | 移动电邮 电子邮箱 | 反垃圾邮件|邮件客户端|网络安全 行业数据 | 邮件人物 | 网站公告 | 行业法规 网络技术: 邮件原理 | 网络协议 | 网络管理 | 传输介质 线路接入 | 路由接口 | 邮件存储 | 华为3Com CISCO技术 | 网络与服务器硬件 操作系统: Windows 9X | Linux&Uinx | Windows NT Windows Vista | FreeBSD | 其它操作系统 邮件服务器: 程序与开发 | Exchange | Qmail | Postfix Sendmail | MDaemon | Domino | Foxmail KerioMail | JavaMail | Winwebmail |James Merak&VisNetic | CMailServer | WinMail 金笛邮件系统 | 其它 | 反垃圾邮件: 综述| 客户端反垃圾邮件|服务器端反垃圾邮件 邮件客户端软件: Outlook | Foxmail | DreamMail| KooMail The bat | 雷鸟 | Eudora |Becky! |Pegasus IncrediMail |其它 电子邮箱: 个人邮箱 | 企业邮箱 |Gmail 移动电子邮件:服务器 | 客户端 | 技术前沿 邮件网络安全: 软件漏洞 | 安全知识 | 病毒公告 |防火墙 攻防技术 | 病毒查杀| ISA | 数字签名 邮件营销: Email营销 | 网络营销 | 营销技巧 |营销案例 邮件人才:招聘 | 职场 | 培训 | 指南 | 职场 解决方案: 邮件系统|反垃圾邮件 |安全 |移动电邮 |招标 产品评测: 邮件系统 |反垃圾邮件 |邮箱 |安全 |客户端 |