首页 -> 网络技术 -> 技术前哨 -> 正文
IPSec安全策略 防Ping还是要慎用

众所周知,Ping命令是一个非常有用的网络命令,大家常用它来测试网络连通情况。但同时它也是把“双刃剑”,特别是在网络高速发展的今天,一些“不怀好意”的人在互联网中使用它来探测别人的机器,以此来达到不可告人的目的。为了保证机器在网络中的安全,现在很多人都非常重视“防Ping”,当然“防Ping”的方法和手段也非常多,如利用IPSec安全策略、Windows内置的防火墙、第三方防火墙工具、路由和远程访问组件等,到底这些“防Ping”方法的效果如何,是不是适合你使用,下面笔者带着你一起来看吧!

IPSec安全策略“防Ping”,还是要慎用

使用IPSec安全策略“防Ping”,是大家常用的一种方法,经过对IPSec安全策略简单的几步配置,就可以实现防Ping的效果。该方法配置比较简单,并且IPSec安全策略是Windows系统内置的一个功能组件,不需要额外安装,因此得到不少用户的喜爱。但这里笔者还是要提醒大家,使用IPSec安全策略“防Ping”,还是要慎用。

为什么这么说呢?首先我们看看IPSec安全策略是如何“防Ping”的,其原理是通过新建一个IPSec策略来过滤掉本机所有的ICMP数据包实现的。这样确实是可以有效的“防Ping”,但同时也会留下后遗症。

因为Ping命令和ICMP协议(Internet Control and Message Protocal)有着密切的关系,在ICMP协议的应用中包含有11种报文格式,其中Ping命令就是利用ICMP协议中的“Echo Request”报文进行工作的。但IPSec安全策略防Ping时采用格杀勿论的方法,把所有的ICMP报文全部过滤掉,特别是很多有用的其它格式的报文也同时被过滤掉了。因此在某些有特殊应用的局域网环境中,容易出现数据包丢失的现象,影响用户正常办公,因此笔者建议大家还是要慎用IPSec安全策略“防Ping”。

使用第三方防火墙工具

大家已经知道了IPSec安全策略“防Ping”的不足之处,为了保证本地机器发出的数据包通过网络被正确的传送给目标主机,大家可以采用别的更加有效的方法,如使用网络防火墙“防Ping”。

对于一般的上网用户来说,使用个人网络防火墙“防Ping”是最简单的一种方法。应用此方法“防Ping”不需要进行复杂的设置,只要你正确配置好防火墙内置的“防Ping”规则,就可以轻松实现“防Ping”的目的。个人网络防火墙的种类较多,几乎都可以有效实现“防Ping”,如天网个人防火墙、瑞星个人网络防火墙、Windows防火墙(或ICF)等,下面笔者以瑞星个人网络防火墙为例,介绍如何配置防火墙实现“防Ping”目的。

运行瑞星个人网络防火墙主程序后,在主窗口中点击“设置→设置规则”选项,弹出“瑞星个人网络防火墙规则设置”窗口,在规则列表中一定要选中“缺省的ICMP入站”规则,接着双击此规则,弹出“规则属性”对话框(如图1),在这里大家可以进行详细参数设置,在“类别”框中选中“系统”选项,“方向”框中选择“接收”选项,“协议”框中一定要选中Ping命令使用的“ICMP”协议了,操作框中选择“禁止”选项。这里要注意ICMP报文类型的选择,切换到“ICMP类型”标签页中,在“类型”下拉列表框中一定要选择“Echo Request”项,最后点击“修改”按钮,保存设置。这样瑞星个人网络防火墙就可以过滤掉,Ping命令所使用的名为“Echo Request”的ICMP报文了,而别的有用的ICMP报文则可以安全通过。完成以上设置后,就实现了利用个人网络防火墙有效“防Ping”的目的。

使用“路由与远程访问”组件

对于局域网用户来说,个人网络防火墙就很难满足他们的需要了,这时你就要使用企业级的网络防火墙“防Ping”,如ISA 2004等,但对于一些小型局域网来说,这些企业级防火墙过于昂贵,难以接受,其实利用Windows 2000/Server 2003服务器操作系统的“路由和远程访问”组件就能解决这个问题,并且该组件是Windows系统内置的,不需要额外购买。

下面笔者以Windows Server 2003系统为例,介绍如何利用“路由和远程访问”组件“防Ping”。大家都知道,“路由和远程访问”组件内置了路由表管理、VPN服务、IP报文过滤等功能,默认情况下,Windows Server 2003系统并没有启用路由和远程访问服务,所以要首先手工启用它。在Windows Server 2003网关服务器中,进入到“控制面板→管理工具”窗口,运行“路由和远程访问”工具,在“路由和远程访问”主窗口中,右键点击“本地”服务器,在弹出的菜单中选择“配置并启用路由及远程访问”选项,接着在“路由及远程访问服务器安装向导”对话框中点击“下一步”按钮,选择“自定义配置”选项,然后点击“下一步”,在接下来的窗口中选择“LAN路由器”选项,最后点击“完成”按钮。

在“路由和远程访问”主窗口中依次展开“IP路由选择→常规”选项,接着在“常规”框体中右键点击接入互联网的那块网卡(如图2),选择“属性”选项,然后在属性对话框中点击“入站筛选器”按钮,弹出“入站筛选器”对话框后,选择“接收所有除符合下列条件以外的数据包”选项,下面点击“新建”按钮,弹出“添加IP筛选器”对话框(如图3),在协议下拉列表框中选择“ICMP”协议,接着在“ICMP类型”和“ICMP代码”栏中分别输入“8和0”,最后点击“确定”按钮。其中ICMP类型为“8”、ICMP代码为“0”的报文就是Ping命令所使用的“Echo Request”报文,最后点击“确定”按钮,完成“防Ping”设置。

以上笔者介绍了几种不同的“防Ping”方法,分别适用于不同的网络环境,如果你感兴趣的话,不妨试试。

 PING专题文章列表

·Ping程序在TCP/IP中的应用

·Ping命令应用实例三则

·如何正确使用Windows的Ping命令

·如何使用ping和tracert命令检测丢包

·使用Ping命令细节点特别提醒

·ping的作用

·高效排除网络故障 从用好Ping命令开始

·网关无法Ping通故障及解决方法

·通过ping检测网络故障的典型次序

·通过Ping命令排除路由器故障

·网管应透过现象轻松解决Ping故障

·检测网络故障的利器!ping命令的使用

·启用IP安全策略防Ping

·IPSec安全策略 防Ping还是要慎用

·Ping命令幕后过程及其返回信息分析

·教你快速深入了解Ping

·什么是Ping不能告诉你的?

·Ping的工作过程及单向Ping通的原因

·Ping的源代码

·show,ping,trace and debug 命令介绍

·网络不通不用愁 Ping命令来帮忙

·完美解决Vista不能Ping问题

·Ping命令不能PING通的种种解惑

·四个Ping命令判断网络的故障

·使用PING判断TCP/IP网络故障

·浅谈IP安全策略:防范被Ping与封闭端口

·伪装IP地址的洪水Ping攻击

·不可忽视 彻底封杀Ping命令漏洞

文章搜索

覆盖全国各省会城市及海外城市的网速测试
→选择要测试的地区
→选择目标测试点
>> 测试点注册