本文详细介绍如何在Windows XP系统中通过建立安全策略来封锁指定端口及IP地址的方法,适用于测试程序在网络受限条件下的行为。
测试过程中,遇到和端口有关的程序,需要考虑封端口后程序的表现。另外,封端口也可以代替模拟禁用网络的情况来测试网络连接错误的时候程序的
响应情况,理论上来说,封端口后的表现和网络连接错误的表现应该是相同的。测试的时候可以考虑。
下面简单说下如何在XP下建立安全策略来封端口。以下内容也是在网上寻找的:
引文来源:http://www.dbcn.net/article.asp?id=195
首先,是确保IPSec Services服务打开,该项服务可以在Windows 2000全系列/XP Pro/.Net Server中找到,2003 SERVER默认安装该服务, 注意,XP HOME不支持该功能。
如果IPSec服务未打开,按下面的操作打开该服务:
在开始运行中输入mmc,选择菜单“文件-添加/删除管理单元”,在弹出的窗口中按下“添加”按钮,选中“IP安全策略管理”,进行“添加”。然后使用默认选择,即“本地计算机”,一系列确定后添加完毕。
您也可以直接在开始-运行中输入“secpol.msc”,选择选择“IP安全策略,在本地计算机”。
如下图可以看到,有边有三个默认的安全规则,不要去管它,而是选中左边的“IP安全策略,在本地计算机”,单击右健选择“管理IP筛选器表和筛选器操作”。
在弹出的窗口中单击“添加”,添加“新 IP 筛选器列表”,在这里输入此IP筛选器的名称和描述。
我们先来添加一个待屏蔽的地址列表,只需要在此窗口中点击添加即可,这里不使用“添加向导”
接下来的窗口里面,第一个页面是选择IP地址,设定的方法有五种,如下图所示。很容易明白,就不再解说了。
默认情况下,IP Filter的作用是单方面的,比如源地址为A,目标地址为 B,则防火墙只对A->B的流量起作用,对B->A的流量则略过不计。选中镜像,则防火墙对A<->B的双向流量都进行处理(相当于一次添加了两条规则)。 
在上面的操作中,我们将一个特定IP地址和一个虚拟的C类网段加入了“待屏蔽 IP 列表”,但它只是一个列表,没有防火墙的功能,只有再加入动作后,才能够发挥作用。下面,我们就来建立一个“阻止”动作,通过动作与刚才的列表结合,就可以屏蔽特定的IP地址。
创建IP安全策略
筛选器表和筛选器动作都建立完毕,现在是该将他们结合起来发挥作用的时间了。
现在回到IP安全策略主界面,和刚才一样在“IP安全策略,在本地计算机”上单击右健,不过这次选择的是“创建IP安全策略”,按照下图进行操作。 
接下来,修改此策略的属性,用我们刚才的筛选器表和筛选器动作,建立规则
至此,我们屏蔽特定IP或者网址的操作已完成.
前面的操作是屏蔽 IP 地址,下面说说如何关闭本机的端口,以常见的139为例。
还是以上的步骤,建立一个名为Port 139的IP 筛选器规则,然后结合我们刚才添加的阻止动作进行设置。使用同样的道理,也可以关闭其他端口。
下面还是演示一下如何建立Port 139的IP筛选器规则
应用IP安全策略规则
上面我们建立了安全策略规则,那怎么使用他们呢?很简单!只需在我们刚才建立的安全策略规则上单击右健,选择“指派”即可。
以后更改规则后,请在开始-运行中输入“gpupdate”更新一下设置。
我们辛辛苦苦设置的策略,怎么能够备份下来呢?也很简单,在“IP安全策略,在本地计算机”上单击右健,选择“所有任务”-“导出策略”,就可以进行备份了。同样的,可以使用“导入备份”恢复。 
注意事项:
1. IPSec中的IP Filter,并不能对ICMP进行很好的处理(无法过滤/保留特定内容,只能屏蔽或者阻止),如果对这方面有要求,可以使用Routing & Remote Access来处理(在Server以上版本才有),这里就不说了。
2. 另外还有一个利用IP过滤器的方法,进入你使用的网卡本地连接属性,选择TCP/IP协议->高级->选项->TCP/IP筛选进行设置。这里有三个过滤器,分别为:TCP端口、UDP端口和IP协议。但是这里的过滤处理比较简单,适合纯粹的服务器应用,而且不能屏蔽IP地址,功能不如前面所述
扫一扫
4
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
