使用Windows2000中的IPSecIP筛选器列表

您可以使用Internet协议安全(IPSec)来保护基于Windows 2000的计算机上的网络通信。IPSec适用于基于IPSec策略的通信。您可以使用IPSec策略来确定何时应该使用IPSec来保护计算机之间的通信。您还可以使用IPSec策略来控制允许进出计算机网络接口的数据包。

IPSec策略基于两个元素:
& # 8226；IP筛选器列表
& # 8226；IP过滤器操作

Internet (IP)过滤器列表是协议和文件夹的列表。例如，您可以创建一个筛选器列表项，允许所有计算机访问本地接口上的TCP端口80。同一过滤器列表中的另一项可允许访问本地接口上的TCP端口25，而第三个过滤器列表项可允许访问本地接口上的用户数据报协议(UDP)端口53。

如果到达计算机接口的数据包在筛选器列表中有匹配项，IPSec策略代理将应用您分配给筛选器列表的筛选器操作。例如，如果您将“阻止”过滤器操作分配给上述过滤器列表，任何发往TCP端口80、TCP端口25或UDP端口53的数据包都将被阻止。但是，如果您将“允许”过滤器操作分配给上述过滤器列表，则数据包将被允许发送到TCP端口80、TCP端口25或UDP端口53。

您可以使用IPSec筛选器列表和筛选器操作来有效控制对所有接口的访问。请注意，IPSec策略将应用于多主机计算机上的所有接口。您不能有选择地将IPSec策略应用到特定的接口。

Windows 2000包括以下两个默认IP筛选器列表:

•所有ICMP通信
& # 8226；所有IP通信都有三种默认的过滤器操作
:
& # 8226；允许
& # 8226；请求安全设置(可选)
& # 8226；需要安全设置
才能返回页首。

如何创建IPSec筛选器列表

要创建应用于入站TCP端口80和TCP端口25的IPSec筛选器列表，请执行下列操作:
1。单击开始，指向程序，指向管理工具，然后单击本地安全策略。
2。单击以展开安全设置。
3。右键单击左窗格中的IP安全策略，然后单击管理IP筛选器。
4。在管理IP筛选器列表和筛选器操作对话框中，单击管理IP筛选器列表选项卡，然后单击添加。
5。在名称框中键入入站TCP 80和25，然后在描述框中键入允许到TCP端口80和25的入站通信。
6。单击以清除“使用添加向导”复选框，然后单击“添加”以添加新的筛选器列表项。
7。单击寻址选项卡。
8。单击源地址框中的任何IP地址。
9。在目标地址框中单击我的IP地址。此配置表示筛选器将应用于入站数据包。
10。单击以清除镜像复选框。
11。单击协议选项卡。
12。在选择协议类型框中单击TCP。
13。单击从任何端口，然后单击到此端口。
14。在“到此端口”框中键入80。
15。单击应用，然后单击确定。
16。在IP筛选器列表对话框中单击添加。
17。单击寻址选项卡。
18。单击源地址框中的任何IP地址。
19。在目标地址框中单击我的IP地址。此配置表示筛选器将应用于入站数据包。
20。单击以选中镜像复选框。此操作之后，将创建一个具有相反源和目标IP地址的筛选器。
21。单击协议选项卡。
22。在选择协议类型框中单击TCP。
23。单击从任何端口，然后单击到此端口。
24。在“到此端口”框中键入25。
25。单击应用，然后单击确定。
26。在IP筛选器列表对话框中，单击关闭。
返回页首
如何创建基于筛选器列表的IPSec策略
要创建基于筛选器列表的IPSec策略，请执行下列操作:
1 .右键单击左窗格中的IP安全策略，然后单击创建IP安全策略。
2。在欢迎使用IP安全策略向导中单击下一步。
3。在IP安全策略名称对话框的名称框中，键入允许入站TCP 80和25，然后单击下一步。
4。单击以清除“激活默认响应规则”复选框，然后单击“下一步”。
5。在完成IP安全策略向导的对话框中，单击以选中“编辑属性”复选框(如果尚未选中)，然后单击“完成”。
6。单击规则选项卡。
7。单击以清除“使用添加向导”复选框，然后单击“添加”。
8。单击IP过滤器列表选项卡。
9。单击入站TCP 80和25 IP过滤器列表左侧的选项。
10。单击过滤器操作选项卡。
11。单击以允许选项位于左侧。
12。单击应用，然后单击确定。
13。“入站TCP 80和25过滤器列表”复选框被选中。单击关闭。
IPSec策略检查发往本地接口上TCP端口80和TCP端口25的数据包，然后将这些数据包与允许数据包通过此接口的“允许”筛选器操作进行匹配。
注意:如果分配了此策略，将允许所有通信，因为没有阻止其他通信的“拒绝”规则。如果您希望只允许上述策略中指定的流量，则必须创建一个拒绝所有流量的“拒绝”规则。