防Ping二法

一、使用路由和远程访问服务防Ping

Ping命令通常被用来测试网络的连接情况，是网管必须掌握的命令。但也有很多人把它当做攻击服务器的武器，因此许多网络管理员都在服务器上做了防Ping措施。防Ping的方法非常多，如利用IP安全策略、网络防火墙等，其中使用路由和远程访问服务器是最有效的方法之一。

笔者以Windows Server 2003为例，为大家介绍如何使用路由和远程访问服务器防Ping。

第一步：启用路由和远程访问服务

Windows Server 2003系统默认情况下并没有启用路由和远程访问服务器，因此首先要手工启用它。点击“开始    程序   管理工具   路由和远程访问”，打开路由和远程访问属性窗口，右键点击“本地”服务器，在弹出的快捷菜单中选中“配置并启用路由及远程访问”选项，点击“下一步”按钮，在“路由和远程访问服务器安装向导配置”对话框中选择“自定义配置”单选项，点击“下一步”按钮后，在自定义配置对话框中选择“LAN路由器”选项，最后点击“完成”按钮后，启动路由和远程访问服务器。

第二步：添加IP筛选器

在路由和远程访问主窗口中依次展开“本地服务器    IP路由选择     常规”。在右侧的常规窗口中，右键点击接入公网的网卡的连接图标，在弹出的快捷菜单中和选择“属性”选项，接着在属性对话框中切换到“常规”标签页，点击“入站筛选器”按钮，在弹出的“入站筛选器”对话框中选择“接收所有除符合下列条件以外的数据包”选项，点击“新建”按钮，弹出“添加IP筛选器”对话框。在“协议”下拉列表框中选择“ICMP”协议，接着在“ICMP类型”和“ICMP代码”栏中分别输入“8和0”，最后点击“确定”按钮，完成IP筛选器的添加。

补充：

Ping命令是利用ICMP协议中的“回声（请求/响应）”报文进行工作的，其中ICMP类型为“8”、ICMP代码为“0”的报文就是Ping命令所使用的回声报文。如果要过滤所有的ICMP报文只要将ICMP类型和ICMP代码都设置为“225”即可。


二、使用“本地安全策略”

选择"管理筛选器操作"标签,创建一个拒绝操作:
1)单击"添加"按钮,启动"筛选器操作向导",跳过欢迎页面,下一步.
2)在筛选器操作名称页面,填写名称,这儿填写"deny".下一步.
3)在筛选器操作常规选项页面,将行为设置为"阻止".下一步.
4)完成.
5.关闭"管理 IP 筛选器表和筛选器操作"对话框.

创建IP安全策略
1.右击"Ip安全策略,在本地机器",选择"创建IP安全策略",启动IP安全策略向导.跳过欢迎页面,下一步.

2.在IP安全策略名称页面,填写合适的IP安全策略名称,这儿我们可以填写"拒绝ping",描述可以随便填写.下一步.

3.在安全通信要求页面,不选择"激活默认响应规则".下一步.

4.在完成页面,选择"编辑属性".完成.

5.在"拒绝ping属性"对话框中进行设置.首先设置规则:
1)单击下面的"添加..."按钮,启动安全规则向导.跳过欢迎页面,下一步.
2)在隧道终结点页面,选择默认的"此规则不指定隧道".下一步.
3)在网络类型页面,选择默认的"所有网络连接".下一步.
4)在身份验证方法页面,选择默认的"windows 2000默认值(Kerberos V5 协议)".下一步. (这一步2003没有)
5)在IP筛选器列表页面选择"所有 ICMP 通讯"筛选器.下一步.
6)在筛选器操作页面,选择我们刚才建立的"deny"操作.下一步.
7)在完成页面,不选择"编辑属性",确定.

6.关闭"拒绝对tcp3389端口的访问属性"对话框.

三.指派和应用IPsec安全策略
1.缺省情况下,任何IPsec安全策略都未被指派.首先我们要对新建立的安全策略进行指派.在本地安全策略MMC中,右击我们刚刚建立的""拒绝ping"安全策略,选择"指派".