< 返回上层

Windows关闭ICMP协议

2019-03-15 10:32:52 103次

怎么样禁止入,如何禁止Ping命令,关闭ping命令PING命令是个危险的命令,用它可以知道你的操作系统,IP等,为了安全禁PING是个很好的方法,也是防DDOS攻击的。应该是有外部网络试图连接你的UDP的1434端口,不知道你打了补丁没有。 
黑客入侵时,大多使用Ping命令来检测主机,如果Ping不通,水平差的“黑客”大多就会知难而退。事实上,完全可以造成一种假相,即使我们在线,但对方Ping时也不能相通,这样就能躲避很多攻击。

第一步:

添加独立管理单元开始-运行,输入:mmc,启动打开“控制台”窗口。再点选“控制台”菜单下的“添加/删除管理单元”,单击“添加”按钮,在弹出的窗口 中选择“IP安全策略管理”项,单击“添加”按钮。在打开窗口中选择管理对象为“本地计算机”,单击“完成”按钮,同时关闭“添加/删除管理单元”窗口, 返回主控台。

第二步:

创建IP安全策略

右击刚刚添加的“IP安全策略,在本地机器”,选择“创建IP安全策略”,单击“下一步”,然后输入一个策略描述,如“no Ping”。单击“下一步”,选中“激活默认响应规则”复选项,单击“下一步”。开始设置身份验证方式,选中“此字符串用来保护密钥交换(预共享密钥)” 选项,然后随便输入一些字符(下面还会用到这些字符)。单击“下一步”,就会提示已完成IP安全策略,确认选中了“编辑属性”复选框,单击“完成”按钮, 会打开其属性对话框。

第三步:

配置安全策略单击“添加”按钮,并在打开安全规则向导中单击“下一步”进行隧道终结设置,在这里选择“此规则不指定隧道”。单击“下一步”,并选择“所有 网络连接”以保证所有的计算机都Ping不通。单击“下一步”,设置身份验证方式,与上面一样选择第三个选项“此字符串用来保护密钥交换(预共享密钥)” 并填入与刚才相同的内容。单击“下一步”,在打开窗口中单击“添加”按钮,打开“IP筛选器列表”窗口。单击“添加”,单击“下一步”,设置源地址为“我 的IP地址”,单击“下一步”,设置目标地址为“任何IP地址”,单击“下一步”,选择协议为ICMP,现在就可依次单击“完成”和“关闭”按钮返回。此 时,可以在IP筛选器列表中看到刚刚创建的筛选器,将其选中之后单击“下一步”,选择筛选器操作为“要求安全设置”选项,然后依次点击“完成”,“关闭” 按钮,保存相关的设置返回管理控制台

第四步:

指派安全策略

最后只需在“控制台根节点”中右击配置好的“禁止Ping”策略,选择“指派”命令使配置生效。经过上面的设置,当其他计算机再Ping该计算机时,就不 再相通了。但如果自己Ping本地计算机,仍可相通。此法对于Windows 2000/XP均有效 


安全策略

IP安全策略,简单的来说就是可以通过做相应的策略来达到放行、阻止相关的端口;放行、阻止相关的IP,如何做安全策略,小编为大家详细的写了相关的步骤:

解说步骤:

阻止所有:

打开本地安全策略:

开始-运行-输入secpol.msc或者开始-程序-管理工具-本地安全策略

弹出来的窗口中,右击IP安全策略,在本地计算机

1. 创建IP安全策略:

2. 进入配置向导:直接下一步


3. 直接就命名:IP 安全策略,然后下一步


4. “激活默认响应规则”不要勾上,不要勾上,直接下一步


5. “编辑属性”前面也不要勾上,直接点完成

6. 可以看下雏形出来了

7. 双击策略,弹出窗口IP安全策略属性;去掉“使用添加向导”前面的勾

8. 点击上图中的"添加"出现下图:

9. 点击上图中的“添加”弹出以下窗口,命名名称为,阻止所有,也就是待会下面所讲的阻止所有的端口及IP访问

10 .点击上图中的“添加”弹出如下窗口:地址我们就都选“任何IP地址”

源地址:就是访问的IP地址

目标地址:就是主机的IP地址

11. 设置完地址后再设置协议,可以下拉看到有很多种,这里也就设置任意

12. 点击上图中的确定,再回到“新规则属性”下面,之前设置的是“IP筛选器列表”,现在设置“筛选器操作”

13. 我们要添加一个阻止,先做一个阻止所有端口、IP访问进出的操作,然后再逐个放行,这个应该可以理解。我们先点常规,改个名“阻止”,然后确定。

14. 上图确定好后,再看“安全措施”,选中“阻止”

15. 上图确定后,我们就可以得到如下窗口了。我们会发现有“允许”,有“阻止”,这就是我们想要的,我们点击阻止;还有就是记得同时也要点上“IP筛选器列表”里的“阻止所有”不然就没有具体的操作对象了。

16. 上面都设置好了,确定好后我们再回到最原始的窗口也就是“IP安全策略属性里”我们可以看到一个“阻止所有”的策略了

逐个放行:

这上面就是一个阻止所有的策略了,下面我们要逐个放行,其实具体过程和上面是一样的;设置“IP筛选器列表”可以改成允许相关的端口,比如说“远程”那么默认的远程端口就是3389

17. 还是和“阻止所有”里一样的操作,只不过换成允许远程

18. 下面就是筛选操作了。如果本地的IP是静态的或者IP是动态但经常在那个几个范围内变化,那么建议使用一个特定的IP子网;然后目标地址就是“我的IP地址”,如果本地IP动态的根本无法确定时就用“任何IP地址”

19. 设置完址后再设置协议。远程访问用的是3389端口,协议类型是TCP,就按照图中设置:

上面确定完之后还要设置筛选器操作里面选择“允许”不然就没用,具体回到步骤15看一下。

远程允许后最后再让策略生效:右击IP 安全策略,指派就可以了

除了上面放行的3389端口之外,实际生产环境中还要放行80端口不然别人访问不了你的网站,如果你的网站在调用时还要访问到别人的网站那么还得放行服务器对外的80端口号(因为阻止所有里是不管对外还是对内的端口都是封着的)。

数据库的端口一般建议别放行,可以直接在服务器里操作,如果非要在本地连接数据库的话可以和远程连接设置一样,放行相关的IP就行。

还有其他的一些端口可以根据自己的需要进行放行。

刚开始设置时可能会出错,如果一出错就可能导致你无法远程,这里提供个解决方法:防止安全策略或防火墙配置错误而导致远程无法连接 

另外,有时可能出现打开安全策略报错“在保存ip安全数据时出现下列错误:指定的服务并未以已安装的服务存在。(80070424)” 这个是由于服务“IPSEC Services”没有开启。

总结:做IP安全策略对服务器的安全有很大帮助!

对脚本编程感兴趣的朋友可以看看洪哥的这篇文章:使用netsh命令来管理IP安全策略

http://www.splaybow.com/post/windows-ipsec.html

提交成功!非常感谢您的反馈,我们会继续努力做到更好!

更多建议

这条文档是否有帮助解决问题?

没有帮助 有帮助

非常抱歉未能帮助到您。为了给您提供更好的服务,我们很需要您进一步的反馈信息:

在文档使用中是否遇到以下问题: