|
一.創(chuàng)建IP篩選器和篩選器操作 1."開始"->"程序"->"管理工具"->"本地安全策略".微軟建議使用本地安全策略進(jìn)行IPsec的設(shè)置,因?yàn)楸镜匕踩呗灾粦?yīng)用到本地計(jì)算機(jī)上,而通常ipsec都是針對(duì)某臺(tái)計(jì)算機(jī)量身定作的. 2.右擊"Ip安全策略,在本地機(jī)器",選擇"管理 IP 篩選器表和篩選器操作",啟動(dòng)管理 IP 篩選器表和篩選器操作對(duì)話框.我們要先創(chuàng)建一個(gè)IP篩選器和相關(guān)操作才能夠建立一個(gè)相應(yīng)的IPsec安全策略. 3.在"管理 IP 篩選器表"中,按"添加"按鈕建立新的IP篩選器: 1)在跳出的IP篩選器列表對(duì)話框內(nèi),填上合適的名稱,我們這兒使用"tcp135",描述隨便填寫.單擊右側(cè)的"添加..."按鈕,啟動(dòng)IP篩選器向?qū)? 2)跳過歡迎對(duì)話框,下一步. 3)在IP通信源頁面,源地方選"任何IP地址",因?yàn)槲覀円柚箓魅氲脑L問.下一步. 4)在IP通信目標(biāo)頁面,目標(biāo)地址選"我的IP地址".下一步. 5)在IP協(xié)議類型頁面,選擇"TCP".下一步. 6)在IP協(xié)議端口頁面,選擇"到此端口"并設(shè)置為"135",其它不變.下一步. 7)完成.關(guān)閉IP篩選器列表對(duì)話框.會(huì)發(fā)現(xiàn)tcp135IP篩選器出現(xiàn)在IP篩選器列表中. 4.選擇"管理篩選器操作"標(biāo)簽,創(chuàng)建一個(gè)拒絕操作: 1)單擊"添加"按鈕,啟動(dòng)"篩選器操作向?qū)?,跳過歡迎頁面,下一步. 2)在篩選器操作名稱頁面,填寫名稱,這兒填寫"拒絕".下一步. 3)在篩選器操作常規(guī)選項(xiàng)頁面,將行為設(shè)置為"阻止".下一步. 4)完成. 5.關(guān)閉"管理 IP 篩選器表和篩選器操作"對(duì)話框. 二.創(chuàng)建IP安全策略 1.右擊"Ip安全策略,在本地機(jī)器",選擇"創(chuàng)建IP安全策略",啟動(dòng)IP安全策略向?qū)?跳過歡迎頁面,下一步. 2.在IP安全策略名稱頁面,填寫合適的IP安全策略名稱,這兒我們可以填寫"拒絕對(duì)tcp135端口的訪問",描述可以隨便填寫.下一步. 3.在安全通信要求頁面,不選擇"激活默認(rèn)響應(yīng)規(guī)則".下一步. 4.在完成頁面,選擇"編輯屬性".完成. 5.在"拒絕對(duì)tcp135端口的訪問屬性"對(duì)話框中進(jìn)行設(shè)置.首先設(shè)置規(guī)則: 1)單擊下面的"添加..."按鈕,啟動(dòng)安全規(guī)則向?qū)?跳過歡迎頁面,下一步. 2)在隧道終結(jié)點(diǎn)頁面,選擇默認(rèn)的"此規(guī)則不指定隧道".下一步. 3)在網(wǎng)絡(luò)類型頁面,選擇默認(rèn)的"所有網(wǎng)絡(luò)連接".下一步. 4)在身份驗(yàn)證方法頁面,選擇默認(rèn)的"windows 2000默認(rèn)值(Kerberos V5 協(xié)議)".下一步. 5)在IP篩選器列表頁面選擇我們剛才建立的"tcp135"篩選器.下一步. 6)在篩選器操作頁面,選擇我們剛才建立的"拒絕"操作.下一步. 7)在完成頁面,不選擇"編輯屬性",確定. 6.關(guān)閉"拒絕對(duì)tcp135端口的訪問屬性"對(duì)話框. 三.指派和應(yīng)用IPsec安全策略 1.缺省情況下,任何IPsec安全策略都未被指派.首先我們要對(duì)新建立的安全策略進(jìn)行指派.在本地安全策略MMC中,右擊我們剛剛建立的""拒絕對(duì)tcp135端口的訪問屬性"安全策略,選擇"指派". 2.立即刷新組策略.使用"secedit /refreshpolicy machine_policy"命令可立即刷新組策略. |
|
|
