禁止人家ping你电脑

liuzhog

前言：看了很多文章就是没我可以看懂的，大概太深了，发一篇实用的给大家看看，不喜欢可以给些建议，呵呵

            利用ipsec实现对icmp的屏蔽

            首先，我们进入“控制面板--〉管理工具--〉本地安全策略”，单击左边的“IP安全策略，在本地机器”，我们可以看到在右边有三个项目，分别是“安全服务器(要求安全设置)”、“客户端(只响应)”、“服务器(请求安全设置)”。这三个预设的设置与服务器之间的安全通讯有关。至于其具体作用，超出了本文的讲解范围，我就不多罗嗦了。
            
            　　我们不必理会那三个预设，  
            在右边的空白处单击鼠标右键，选择“创建IP安全策略”；  
            首先是欢迎屏幕，我们直接单击“下一步”；  
            在IP安全策略名称输入一个名称（随便写），下一步；  
            在“安全通讯请求”选中“激活默认相应规则”，下一步；  
            在“默认相应规则身份验证方式”，保持默认值（选择最顶端的“Windows 2000 默认值(Kerberos V5 协议)”），下一步；
            
            此时会弹出一个警告框，提示“只有当这个规则在一台为域成员的机器上 Kerberos
            才有效。这台机器不是一个域成员。您想继续并保留这些规则的属性吗?”，我们单击“是(Y)”；  
            　　好，现在我们可以看到“IP 安全策略向导”的完成屏幕，我们选中其中的“编辑属性”，点击“完成”，即可进入 “新 IP 安全策略
            属性” 。在这个对话框中，可以看到两个选项卡：“规则”和“常规”。其中“常规”我们可以并不必理会，只看“规则”选项卡。  
            单击下面的“添加”，我们可以看到“创建 IP 安全规则向导”的欢迎屏幕，单击“下一步”；  
            在隧道终结点屏幕，我们保持其默认值，选择“此规则不指定隧道(T)”，下一步；  
            在“网络类型”屏幕，保持其默认值，选择“所有网络连接(C)”，下一步；  
            在“身份验证方法”，保持默认值（选择“Windows 2000 默认值(Kerberos V5
            协议)”），下一步，同样会有个警告窗口，单击“是(Y)，进入“IP 筛选器列表”，其中有一个“所有 IP
            通讯”单选项目，不必理会它。接下来我们进行整个“ICMP屏蔽行动”的关键设置：设置ICMP响应规则。  
            依然是在“IP 筛选器列表”屏幕，点击“添加(A)”，在弹出的“IP 筛选器列表” 窗口输入一个名称，我们输入一个“屏蔽 IPMP
            报文”，单击右边的“添加(A)”，进入“IP 筛选器向导”的欢迎屏幕，单击“下一步”；  
            在“IP 通信源”屏幕，下面的“源地址”，选择“任何 IP 地址”，下一步；  
            在 “IP 通信目标”屏幕，下面的“目标地址”，选择“我的 IP 地址”，下一步；  
            　　注意：这两个屏幕中的“源地址”和“目标地址”不能选择相同的项目。  
            在“IP 协议类型”屏幕，下面的“选择协议类型(S)”，我们选择“ICMP”，下一步；  
            好，我们看到了“IP 筛选器列表”的完成屏幕。不必选中中间的“编辑属性”，点击“完成”。  
            我们又回到了IP 筛选器列表”对话框，可以看到在下面的“筛选器(S)”列表中出现了我们刚刚添加的一个筛选器。  
            单击下方的“关闭”按钮，回到“安全规则向导”屏幕，现在中间的“IP 筛选器列表(I)”中可以看到我们刚才设定的筛选器“屏蔽 ICMP
            报文”，我们点选其前面的单选按钮，单击“下一步”，进入“筛选器操作”屏幕；  
            在“筛选器操作(C)”框内可以看到四个预设的操作。但这几个操作里面没有能够对应我们所需要的“屏蔽”的动作，因此需要我们自己来添加。选择右边的“添加(A)”，首先是欢迎屏幕，直接单击“下一步”；
            
            在“筛选器操作名称”屏幕输入一个筛选器操作的名称，在这里我们输入“拒绝”，单击“下一步”；  
            在“筛选器操作常规选项”屏幕，选择中间的“阻止(L)”，下一步；  
            好，我们完成了添加筛选器操作“拒绝”的步骤，单击“完成”，关闭向导。  
            OK，我们又回到了“筛选器操作”屏幕，先在列表中已经出现了我们刚刚设定的“拒绝”操作。同样选中其前面的单选按钮，下一步；  
            好了，我们看到了完成屏幕，去掉“编辑属性”前面的对勾，单击“完成”。  
            我们又回到了“新 IP 安全策略 属性”对话框，在中间的“IP 安全规则(I)”列表中出现了我们设定的“屏蔽 ICMP
            报文”规则，其筛选器操作是“拒绝”，我们单击下面的“关闭”，返回一开始的“本地安全设置”窗口。  

            好，在“本地安全设置”窗口的右边，多出了一个“新 IP
            安全策略”的项目，我们在其上点击右键，选择“指派”，若成功被应用，则其图标右下角将出现一个绿色的小方块。  
            大功告成！现在找人对你 Ping 一下，看是否还能 Ping 通呢？哈哈！对方返回了“Request timed out.”。搞定！  
            同样的，由于屏蔽了所有的 ICMP 报文，导致你尝试 Ping 别人的时候，也 Ping 不通，会返回“Destination host
            unreachable.”，怎么解决呢？只要再次进入“控制面板--〉管理工具--〉本地安全策略--〉IP安全策略，在本地机器”，在我们设定的“新
            IP 安全策略”项目上单击右键，选择“不指派”，那么我们的 ICMP 报文又恢复正常了。此时就可以 Ping
            通别人，但同样，此时别人也可以 Ping 通你咯。所以，记得在 Ping 完别人之后再立即将“新 IP 安全策略”指派~。

fzdd2003

组策略的"IP安全策略"以及"软件限制策略"的功能很少人去配置它,其它组策略的功能还是蛮强大的

kingtest

这个要好好学习下了，设定自己的“新 IP 安全策略”。

wmhwm

还是很实用的，我试一下。。

红尘渡口

还不错，以前看过类似的，但没能全明白~！

zsuhjh

ping 人家的电脑，ping通了又怎样，还想黑了人家吗？

kyq0417

ping几下没什么关系吧/:012

逍遥一笑

还是不太懂？/:010

zjj888

感觉很复杂，看起来有点儿累

hljbhs

以前看过类似的，后来就不当回事了。