慎用IPSec安全策略“防Ping”

　　使用IPSec安全策略“防Ping”，是大家常用的一種方法，經(jīng)過對IPSec安全策略簡單的幾步配置，就可以實現(xiàn)防Ping的效果。該方法配置比較簡單，并且IPSec安全策略是Windows系統(tǒng)內(nèi)置的一個功能組件，不需要額外安裝，因此得到不少用戶的喜愛。但這里筆者還是要提醒大家，使用IPSec安全策略“防Ping”，還是要慎用。

　　為什么這么說呢?首先我們看看IPSec安全策略是如何“防Ping”的，其原理是通過新建一個IPSec策略來過濾掉本機所有的ICMP數(shù)據(jù)包實現(xiàn)的。這樣確實是可以有效的“防Ping”，但同時也會留下后遺癥。

　　因為Ping命令和ICMP協(xié)議(Internet Control and Message Protocal)有著密切的關(guān)系，在ICMP協(xié)議的應(yīng)用中包含有11種報文格式，其中Ping命令就是利用ICMP協(xié)議中的“Echo Request”報文進行工作的。但IPSec安全策略防Ping時采用格殺勿論的方法，把所有的ICMP報文全部過濾掉，特別是很多有用的其它格式的報文也同時被過濾掉了。因此在某些有特殊應(yīng)用的局域網(wǎng)環(huán)境中，容易出現(xiàn)數(shù)據(jù)包丟失的現(xiàn)象，影響用戶正常辦公，因此筆者建議大家還是要慎用IPSec安全策略“防Ping”。

　　使用第三方防火墻工具來防范

　　大家已經(jīng)知道了IPSec安全策略“防Ping”的不足之處，為了保證本地機器發(fā)出的數(shù)據(jù)包通過網(wǎng)絡(luò)被正確的傳送給目標(biāo)主機，大家可以采用別的更加有效的方法，如使用網(wǎng)絡(luò)防火墻“防Ping”。

　　對于一般的上網(wǎng)用戶來說，使用個人網(wǎng)絡(luò)防火墻“防Ping”是最簡單的一種方法。應(yīng)用此方法“防Ping”不需要進行復(fù)雜的設(shè)置，只要您正確配置好防火墻內(nèi)置的“防Ping”規(guī)則，就可以輕松實現(xiàn)“防Ping”的目的。個人網(wǎng)絡(luò)防火墻的種類較多，幾乎都可以有效實現(xiàn)“防Ping”，如天網(wǎng)個人防火墻、瑞星個人網(wǎng)絡(luò)防火墻、Windows防火墻(或ICF)等，下面筆者以瑞星個人網(wǎng)絡(luò)防火墻為例，介紹如何配置防火墻實現(xiàn)“防Ping”目的。

　　運行瑞星個人網(wǎng)絡(luò)防火墻主程序后，在主窗口中點擊“設(shè)置→設(shè)置規(guī)則”選項，彈出“瑞星個人網(wǎng)絡(luò)防火墻規(guī)則設(shè)置”窗口，在規(guī)則列表中一定要選中“缺省的ICMP入站”規(guī)則，接著雙擊此規(guī)則，彈出“規(guī)則屬性”對話框(如圖1)，在這里大家可以進行詳細參數(shù)設(shè)置，在“類別”框中選中“系統(tǒng)”選項，“方向”框中選擇“接收”選項，“協(xié)議”框中一定要選中Ping命令使用的“ICMP”協(xié)議了，操作框中選擇“禁止”選項。這里要注意ICMP報文類型的選擇，切換到“ICMP類型”標(biāo)簽頁中，在“類型”下拉列表框中一定要選擇“Echo Request”項，最后點擊“修改”按鈕，保存設(shè)置。這樣瑞星個人網(wǎng)絡(luò)防火墻就可以過濾掉，Ping命令所使用的名為“Echo Request”的ICMP報文了，而別的有用的ICMP報文則可以安全通過。完成以上設(shè)置后，就實現(xiàn)了利用個人網(wǎng)絡(luò)防火墻有效“防Ping”的目的。

　　使用“路由與遠程訪問”組件

　　對于局域網(wǎng)用戶來說，個人網(wǎng)絡(luò)防火墻就很難滿足他們的需要了，這時您就要使用企業(yè)級的網(wǎng)絡(luò)防火墻“防Ping”，如ISA 2004等，但對于一些小型局域網(wǎng)來說，這些企業(yè)級防火墻過于昂貴，難以接受，其實利用Windows 2000/Server 2003服務(wù)器操作系統(tǒng)的“路由和遠程訪問”組件就能解決這個問題，并且該組件是Windows系統(tǒng)內(nèi)置的，不需要額外購買。

　　下面我以Windows Server 2003系統(tǒng)為例，介紹如何利用“路由和遠程訪問”組件“防Ping”。大家都知道，“路由和遠程訪問”組件內(nèi)置了路由表管理、VPN服務(wù)、IP報文過濾等功能，默認情況下，Windows Server 2003系統(tǒng)并沒有啟用路由和遠程訪問服務(wù)，所以要首先手工啟用它。在Windows Server 2003網(wǎng)關(guān)服務(wù)器中，進入到“控制面板→管理工具”窗口，運行“路由和遠程訪問”工具，在“路由和遠程訪問”主窗口中，右鍵點擊“本地”服務(wù)器，在彈出的菜單中選擇“配置并啟用路由及遠程訪問”選項，接著在“路由及遠程訪問服務(wù)器安裝向?qū)?rdquo;對話框中點擊“下一步”按鈕，選擇“自定義配置”選項，然后點擊“下一步”，在接下來的窗口中選擇“LAN路由器”選項，最后點擊“完成”按鈕。

　　在“路由和遠程訪問”主窗口中依次展開“IP路由選擇→常規(guī)”選項，接著在“常規(guī)”框體中右鍵點擊接入互聯(lián)網(wǎng)的那塊網(wǎng)卡(如圖2)，選擇“屬性”選項，然后在屬性對話框中點擊“入站篩選器”按鈕，彈出“入站篩選器”對話框后，選擇“接收所有除符合下列條件以外的數(shù)據(jù)包”選項，下面點擊“新建”按鈕，彈出“添加IP篩選器”對話框(如圖3)，在協(xié)議下拉列表框中選擇“ICMP”協(xié)議，接著在“ICMP類型”和“ICMP代碼”欄中分別輸入“8和0”，最后點擊“確定”按鈕。其中ICMP類型為“8”、ICMP代碼為“0”的報文就是Ping命令所使用的“Echo Request”報文，最后點擊“確定”按鈕，完成“防Ping”設(shè)置。