使用ipsec阻止對Tcp135端口的訪問

一.創建IP篩選器和篩選器操作 
1."開始"->"程序"->"管理工具"->"本地安全策略".微軟建議使用本地安全策略進行IPsec的設置,因為本地安全策略只應用到本地計算機上,而通常ipsec都是針對某臺計算機量身定作的. 

2.右擊"Ip安全策略,在本地機器",選擇"管理 IP 篩選器表和篩選器操作",啟動管理 IP 篩選器表和篩選器操作對話框.我們要先創建一個IP篩選器和相關操作才能夠建立一個相應的IPsec安全策略. 

3.在"管理 IP 篩選器表"中,按"添加"按鈕建立新的IP篩選器: 
1)在跳出的IP篩選器列表對話框內,填上合適的名稱,我們這兒使用"tcp135",描述隨便填寫.單擊右側的"添加..."按鈕,啟動IP篩選器向導. 
2)跳過歡迎對話框,下一步. 
3)在IP通信源頁面,源地方選"任何IP地址",因為我們要阻止傳入的訪問.下一步. 
4)在IP通信目標頁面,目標地址選"我的IP地址".下一步. 
5)在IP協議類型頁面,選擇"TCP".下一步. 
6)在IP協議端口頁面,選擇"到此端口"并設置為"135",其它不變.下一步. 
7)完成.關閉IP篩選器列表對話框.會發現tcp135IP篩選器出現在IP篩選器列表中. 

4.選擇"管理篩選器操作"標簽,創建一個拒絕操作: 
1)單擊"添加"按鈕,啟動"篩選器操作向導",跳過歡迎頁面,下一步. 
2)在篩選器操作名稱頁面,填寫名稱,這兒填寫"拒絕".下一步. 
3)在篩選器操作常規選項頁面,將行為設置為"阻止".下一步. 
4)完成. 

5.關閉"管理 IP 篩選器表和篩選器操作"對話框. 

二.創建IP安全策略 
1.右擊"Ip安全策略,在本地機器",選擇"創建IP安全策略",啟動IP安全策略向導.跳過歡迎頁面,下一步. 

2.在IP安全策略名稱頁面,填寫合適的IP安全策略名稱,這兒我們可以填寫"拒絕對tcp135端口的訪問",描述可以隨便填寫.下一步. 

3.在安全通信要求頁面,不選擇"激活默認響應規則".下一步. 

4.在完成頁面,選擇"編輯屬性".完成. 

5.在"拒絕對tcp135端口的訪問屬性"對話框中進行設置.首先設置規則: 
1)單擊下面的"添加..."按鈕,啟動安全規則向導.跳過歡迎頁面,下一步. 
2)在隧道終結點頁面,選擇默認的"此規則不指定隧道".下一步. 
3)在網絡類型頁面,選擇默認的"所有網絡連接".下一步. 
4)在身份驗證方法頁面,選擇默認的"windows 2000默認值(Kerberos V5 協議)".下一步. 
5)在IP篩選器列表頁面選擇我們剛才建立的"tcp135"篩選器.下一步. 
6)在篩選器操作頁面,選擇我們剛才建立的"拒絕"操作.下一步. 
7)在完成頁面,不選擇"編輯屬性",確定. 

6.關閉"拒絕對tcp135端口的訪問屬性"對話框. 

三.指派和應用IPsec安全策略 
1.缺省情況下,任何IPsec安全策略都未被指派.首先我們要對新建立的安全策略進行指派.在本地安全策略MMC中,右擊我們剛剛建立的""拒絕對tcp135端口的訪問屬性"安全策略,選擇"指派". 
2.立即刷新組策略.使用"secedit /refreshpolicy machine_policy"命令可立即刷新組策略. 

原文轉自：http://www.kjueaiud.com