系统安全从定制IP策略开始

现在病毒和木马的攻击方式多种多样，尤其是电脑端口是病毒“捕捉”的关键部位。你遇到过这样的情况吗？当我们安装了天网之类的防火墙上网时，只看到惊叹号跳个不停。打开一看是类似于“xxx.xxx.xxx.xxx试图连接本机xxx端口，操作被拒绝”等操作提示，这是一些病毒和木马攻击端口的表现。

概念常识

在解决上述情况之前，我们需要了解一些常识性的概念，尤其是关于端口的知识。什么是端口？在网络技术中，端口大致有两种含义:一种是物理端口，例如，ADSL调制解调器、集线器、交换机、路由器等用于连接其他网络设备的接口，如RJ-45端口、SC端口等。二是逻辑端口，一般指TCP/IP协议中的端口。端口号范围从0到65535，例如80端口用于网页浏览服务，21端口用于FTP服务，等等。

本文所说的端口是指逻辑端口，是计算机与外部网络的逻辑接口，是计算机的第一道屏障。默认情况下，许多Windows端口都是打开的。上网时，网络病毒和黑客可以通过这些端口连接到你的电脑。为了让你的系统成为铜墙铁壁，我们有一些重要的端口，比如80端口，为网站服务。端口21是FTP服务；端口25是电子邮件SMTP服务；10个端口为电子邮件POP3服务；端口433是SQL Server服务等。，可以关闭一些非服务端口，如TCP端口135、139、445、593、1025和UDP端口135、137、138、445，一些流行病毒的后门端口(如TCP端口2745、3127、6129)，远程服务访问端口3389。对于一些无法服务的端口，除了使用一些网络防火墙来关闭之外，可以说借助IP安全策略来关闭是防止入侵者入侵的好方法。让我们自定义下面的IP策略。

了解IP安全策略

IP安全策略是一种提供通信分析的策略。它将通信内容与设定的规则进行比较，以确定通信是否与预期一致，然后决定是否允许或拒绝通信的传输。它弥补了传统TCP/IP设计中“随机信任”的重大安全漏洞，可以实现更加细致、准确的TCP/IP安全。也就是说，当我们配置了IP安全策略后，就相当于拥有了一个免费但功能齐全的个人防火墙。

实际IP安全策略

1.创建IP安全策略。

第一步:点击“开始”菜单，然后选择“设置→控制面板”。在弹出的“控制面板”中，双击“管理工具”图标进入“管理工具”，再次双击“本地安全策略”图标进入“本地安全策略”对话框。

第二步:用鼠标右键单击“IP安全策略”并选择“创建IP安全策略”命令。

在弹出的“IP安全策略向导”对话框中，单击“下一步”按钮，输入IP安全策略的名称。

比如“拦截端口135”，再次点击“下一步”按钮，保持默认参数设置不变，直到完成位置，这样就创建了一个“拦截端口135”安全策略。单击“确定”按钮返回。

2.设置IP过滤器

右键“IP安全策略”，选择“管理IP过滤器和过滤器操作”，进入相应的对话框。在“管理IP过滤器列表”页面，点击“添加”，在弹出的“IP过滤器列表”中输入名称“阻止端口135”，点击“添加”，然后点击“下一步”。在目标地址中选择“我的IP地址”，点击“下一步”按钮，在协议中选择“TCP”(这个选项一般是选择的，根据具体的端口设置，比如当ICMP协议关闭时，在这里选择ICMP)，如图3，点击“下一步”按钮，在设置IP协议端口中选择从任意端口到这个端口，在这个端口中输入135，点击“下一步”其他端口设置类似。

3.过滤操作

或者在“管理IP过滤器和过滤器操作”对话框中，进入“管理过滤器操作”页面，点击“添加”按钮，然后点击“下一步”按钮，在名称中输入“拒绝”，点击“下一步”按钮。在过滤操作中选择“阻止”项，点击“下一步”按钮，则“拒绝”项将被添加到过滤管理操作中。

单击“关闭”按钮返回“本地安全设置”对话框。

在“本地安全设置”对话框中，双击左侧窗口中的“IP安全策略在本地计算机上”，我们可以在右侧窗口中看到“阻止端口135”的字样。右键单击新创建的IP安全策略“阻止端口135”，然后选择“属性”。在规则中选择“添加”，点击“下一步”按钮，选择“此规则不指定隧道”，然后点击“下一步”按钮，在网络类型选择中选择“所有网络连接”，点击“下一步”按钮，在IP过滤器列表中选择“阻止端口135”。

单击“下一步”按钮，在出现的窗口中选择上一步操作中添加的“拒绝”，然后单击“下一步”按钮，从而将过滤器添加到名为“阻塞端口135”的IP安全策略中。单击“确定”按钮返回。

4.分配

“阻塞端口135”的IP安全策略已经建立，但在分配之前不会起作用。用鼠标右键单击“阻止端口135”，选择“分配”，IP安全策略生效。同样的方法也可以关闭其他无用的端口，这样我们就可以自己创建一个安全的网络防火墙。