HOW TO:使用 Windows 2000 中的 IPSec IP 筛选器列表

本文已归档。它按“原样”提供,并且不再更新。
概要
您可以使用 Internet 协议安全 (IPSec) 来保护基于 Windows 2000 的计算机上的网络通信。IPSec 适用于基于 IPSec 策略的通信。您可以使用 IPSec 策略来确定何时应使用 IPSec 保护计算机之间的通信。还可以使用 IPSec 策略控制允许进出计算机网络接口的数据包。

IPSec 策略基于两个元素:
 • IP 筛选器列表

  - 和 -
 • IP 筛选器操作
Internet 协议 (IP) 筛选器列表是一个协议和文件夹的列表。例如,您可以创建一个允许所有计算机访问本地接口上的 TCP 端口 80 的筛选器列表项。同一筛选器列表中的另一项可能允许访问本地接口上的 TCP 端口 25,而第三个筛选器列表项可能允许访问本地接口上的用户数据报协议 (UDP) 端口 53。

如果到达计算机接口的数据包在筛选器列表上有一个相匹配的项,IPSec 策略代理将应用您分配给该筛选器列表的筛选器操作。例如,如果向上述筛选器列表分配一个“阻止”筛选器操作,那么,任何发往 TCP 端口 80、TCP 端口 25 或 UDP 端口 53 的数据包都将被阻止。不过,如果向上述筛选器列表分配一个“允许”筛选器操作,则允许数据包发往 TCP 端口 80、TCP 端口 25 或 UDP 端口 53。

您可以使用 IPSec 筛选器列表和筛选器操作来有效地控制对所有接口的访问。注意,IPSec 策略将应用于多主计算机上的所有接口。您不能有选择性地将 IPSec 策略应用于特定接口。

Windows 2000 包括下面两个默认的 IP 筛选器列表:
 • 所有 ICMP 通讯

  - 和 -
 • 所有 IP 通讯
有三种默认的筛选器操作:
 • 允许

  - 和 -
 • 请求安全设置(可选)

  - 和 -
 • 需要安全设置
返回页首

如何创建 IPSec 筛选器列表

要创建应用于入站 TCP 端口 80 和 TCP 端口 25 的 IPSec 筛选器列表,请执行以下操作:
 1. 单击开始,指向程序,指向管理工具,然后单击本地安全策略
 2. 单击以展开安全设置
 3. 右键单击左窗格中的 IP 安全策略,然后单击“管理 IP 筛选器”。
 4. 单击“管理 IP 筛选器列表和筛选器操作”对话框中的管理 IP 筛选器列表选项卡,然后单击添加
 5. 名称框中键入入站 TCP 80 和 25,然后在描述框中键入允许到 TCP 端口 80 和 25 的入站通信
 6. 单击以清除使用“添加向导”复选框,然后单击添加以添加一个新的筛选器列表项。
 7. 单击寻址选项卡。
 8. 在“源地址”框中单击任何 IP 地址
 9. 在“目标地址”框中单击我的 IP 地址。此配置指明该筛选器将应用于入站数据包。
 10. 单击以清除镜像复选框。
 11. 单击协议选项卡。
 12. 在“选择协议类型”框中单击 TCP
 13. 单击“从任意端口”,然后单击“到此端口”。
 14. 在“到此端口”框中键入 80
 15. 单击应用,然后单击确定
 16. IP 筛选器列表对话框中单击添加
 17. 单击寻址选项卡。
 18. 在“源地址”框中单击任何 IP 地址
 19. 在“目标地址”框中单击我的 IP 地址。此配置指明该筛选器将应用于入站数据包。
 20. 单击以选中镜像复选框。执行此操作后,将创建一个具有相反的源和目标 IP 地址的筛选器。
 21. 单击协议选项卡。
 22. 在“选择协议类型”框中单击 TCP
 23. 单击“从任意端口”,然后单击“到此端口”。
 24. 在“到此端口”框中键入 25
 25. 单击应用,然后单击确定
 26. IP 筛选器列表对话框中单击关闭
返回页首

如何创建基于筛选器列表的 IPSec 策略

要创建基于筛选器列表的 IPSec 策略,请执行以下操作:
 1. 右键单击左窗格中的 IP 安全策略,然后单击创建 IP 安全策略
 2. 在“欢迎使用 IP 安全策略向导”中单击下一步
 3. IP 安全策略名称对话框的名称框中,键入允许入站 TCP 80 和 25,然后单击下一步
 4. 单击以清除“激活默认响应规则”复选框,然后单击下一步
 5. 正在完成 IP 安全策略向导对话框中,单击以选中“编辑属性”复选框(如果尚未选中),然后单击完成
 6. 单击规则选项卡。
 7. 单击以清除使用“添加向导”复选框,然后单击添加
 8. 单击 IP 筛选器列表选项卡。
 9. 单击“入站 TCP 80 和 25 IP 筛选器列表”左边的选项
 10. 单击筛选器操作选项卡。
 11. 单击允许左边的选项
 12. 单击应用,然后单击确定
 13. “入站 TCP 80 和 25 筛选器列表”复选框被选中。单击关闭
IPSec 策略检查发往本地接口上的 TCP 端口 80 和 TCP 端口 25 的数据包,然后将这些数据包与允许数据包通过此接口的“允许”筛选器操作相匹配。

注意:如果分配此策略,将允许所有通信,因为没有阻止其他通信的“拒绝”规则。如果希望仅允许上述策略中指定的通信,则必须创建拒绝所有通信的“拒绝”规则。

返回页首
属性

文章 ID:313190 - 上次审阅时间:12/07/2015 08:12:56 - 修订版本: 2.0

Microsoft Windows 2000 Server, Microsoft Windows 2000 Advanced Server

 • kbnosurvey kbarchive kbhowto kbhowtomaster KB313190
反馈