• 添加IP安全策略 远离系统Ping漏洞的威胁


    懂得网络的人对于Ping这个最基本的网络命令一定很熟悉,它是一个非常好用的TCP/IP工具。它可以向你提供的地址发送一个小的数据包,然后侦听这台机器是否有“回答”。你可以使用机器的 Internet 地址,如:ping 192.78.222.81,或者也可使用机器名,如:ping MyComputer。 在使用Ping时,Ping工具程序发送一个ICMP(Internet Control Management Protocol,简称Internet控制管理协议)应答请求给对方,以验证另一台计算机是否在网络上,分析对方的名字和IP地址。 简单来说,PING能告诉你现在哪些机器在网络上活动。 

     
     

    可是这个Ping也能给Windows系统带来严重的后果,那就是Ping入侵即是ICMP入侵,原理是通过Ping大量的数据包使得计算机的CPU使用率居高不下而崩溃,通常在一个时段内连续向计算机发出大量请求而导致CPU处理不及而死机。实际上我们可以通过相应的设定或者利用防火墙来使对方无法PING到自己的计算机。 
    下面将向朋友介绍如何配置系统IP安全策略来禁止他人Ping自己的主机,具体操作步骤如下: 

    一、添加IP安全策略 

      我们首先要做的就是,在控制台中添加IP安全策略单元,添加步骤如下: 

      1)依次点击“开始”→“运行”,然后在“运行”窗口中输入“mmc”并回车,此时将会打开“控制台1”窗口(如图1); 

    2)在图1所示窗口依次点击“文件”→“添加/删除管理单元” →“添加”,此时将会打开“添加/删除管理单元”窗口,我们在此窗口下的列表中双击“IP安全策略管理”(如图2);

     3)这时将会弹出“选择计算机域”窗口,在此我们选中“本地计算机”,然后点击“完成”按钮,最后依次点击“关闭”→“确定”,返回“控制台1”主界面,此时我们将会发现在“控制台要节点”下多了“IP安全策略,在本地计算机”(如图3)项,此时可以说明控制台中已经添加了IP安全策略项。

    二、创建IP安全策略 

      在我们添加了IP安全策略后,还要创建一个新的IP安全策略,步骤如下: 

      (1)在图3中右键点击“IP安全策略,在本地机器”选项,执行“创建IP安全策略”命令,此时将会打开“IP安全策略向导”窗口; 

      (2)单击“下一步”按钮,此时将会出现要求指定IP安全策略名称及描述向导页面,我们可以在“描述”下输入一个策略描述,比如“禁止Ping”(如图4); 

    (3)点击“下一步”,然后在出现的页面中确保选中了“激活默认相应规则”项,然后单击“下一步”; 

    (4)在出现的“默认响应规则身份验证方法”对话框中我们选中“此字符串用来保护密钥交换(预共享密钥)”选项,然后在下面的文字框中任意键入一段字符串(如“禁止 Ping”)(如图5); 

    (5)单击“下一步”,此时将会出现完成IP安全策略向导页面窗口,最后单击“完成”按钮即完成了IP安全策略的创建工作。

    三、编辑IP安全策略属性 

      在以上IP安全策略创建后,在控制台中就会看到刚刚创建好的“新IP安全策略”项,下面还要对其属性进行编辑修改,步骤如下; 

      (1)在控制台中双击创建好的新IP安全策略,此时将会弹出“新IP安全策略属性”窗口(如图6); 

    (2)单击“添加”按钮,此时将会弹出“安全规则向导”窗口,直接点击“下一步”则进入“隧道终结点”页面,在此点选“此规则不指定隧道”; 

    (3)单击“下一步”此时将会出现“网络类型”页面,在该页面中我们点选“所有网络连接”项,这样就能保证所有的计算机都Ping不通该主机了(如图7);

    (4)单击“下一步”,此时将会出现“身份验证方法”页面,我们继续选中“此字符串用来保护密钥交换(预共享密钥)”项,然后在下面的输入框中输入“禁止Ping”的文字(如图8); 

    (5)单击“下一步”,然后在打开的“IP筛选器列表”页面中单击“添加”按钮,此时将会打开“IP筛选器列表”窗口(如图9); 

    (6)在“IP筛选器列表”窗口中单击“添加”按钮,此时将会弹出“IP筛选器向导”窗口,我们单击“下一步”,此时将会弹出“IP通信源”页面,在该页面中设置“源地址”为“我的IP地址”(如图10);

    (7)单击“下一步”按钮,我们在弹出的页面中设置“目标地址”为“任何IP地址”,任何IP地址的计算机都不能Ping你的机器(如图11); 

    (8)点击“下一步”,然后在出现的“IP协议类型”页面中设置“选择协议类型”为“ICMP”(如图12); 

    (9)依次单击“下一步”→“完成”,此时,你将会在“IP筛选器列表”看到刚刚创建的筛选器,将其选中后单击“下一步”,我们在出现的“筛选器操作”页面中设置筛选器操作为“需要安全”选项(如图13); 

    10)点击“下一步”,然后依次点击“完成”→“确定”→“关闭”按钮,保存相关的设置返回控制台即可。

    四、指派IP安全策略 

      安全策略创建完毕后并不能马上生效,我们还需通过“指派”功能令其发挥作用。方法是:在“控制台根节点”中右击“新的IP安全策略”项,然后在弹出的右键菜单中执行“指派”命令,即可启用该策略(如图14)。 

    至此,这台主机已经具备了拒绝其他任何机器Ping自己IP地址的功能,不过在本地仍然能够Ping通自己。经过这样的设置之后,所有用户(包括管理员)都不能在其他机器上对此服务器进行Ping操作。从此你再也不用担心被Ping威胁了吧!

  • 相关阅读:
    logstash定义表达式
    redis
    HTTP 错误 500.19 请求的页面的相关配置数据无效 解决办法
    redis sentinel集群
    Elasticsearch6.0及其head插件安装
    Elasticsearch5.2.0部署过程的坑
    Centos7远程桌面 vnc/vnc-server的设置
    python-day27--configparser模块
    python-day27--hashlib模块-摘要算法
    python-day21--os模块
  • 原文地址:https://www.cnblogs.com/zhangkaimin/p/4462433.html
Copyright © 2020-2023  润新知