三種不同的“防 Ping”技巧

淺析三種不同的“防 Ping”方法

　　眾所周知，Ping命令是一個(gè)非常有用的網(wǎng)絡(luò)命令，大家常用它來(lái)測(cè)試網(wǎng)絡(luò)連通情況。但同時(shí)它也是把“雙刃劍”，特別是 在網(wǎng)絡(luò)高速發(fā)展的今天，一些“不懷好意”的人在互聯(lián)網(wǎng)中使用它來(lái)探測(cè)別人的機(jī)器，以此來(lái)達(dá)到不可告人的目的。為了保證機(jī)器在網(wǎng)絡(luò)中的安全，現(xiàn)在很多人都非 常重視“防Ping”，當(dāng)然“防Ping”的方法和手段也非常多，如利用IPSec安全策略、Windows內(nèi)置的防火墻、第三方防火墻工具、路由和遠(yuǎn)程 訪問(wèn)組件等，到底這些“防Ping”方法的效果如何，是不是適合你使用，下面筆者帶著你一起來(lái)看吧!

　　一、IPSec安全策略“防Ping”，還是要慎用

　　使用IPSec安全策略“防Ping”，是大家常用的一種方法，經(jīng)過(guò)對(duì)IPSec安全策略簡(jiǎn)單的幾步配置，就可以實(shí)現(xiàn)防Ping的效果。該方法配置比較 簡(jiǎn)單，并且IPSec安全策略是Windows系統(tǒng)內(nèi)置的一個(gè)功能組件，不需要額外安裝，因此得到不少用戶的喜愛(ài)。但這里筆者還是要提醒大家，使用 IPSec安全策略“防Ping”，還是要慎用。

　　為什么這么說(shuō)呢?首先我們看看IPSec安全策略是如何“防Ping”的，其原理是通過(guò)新建一個(gè)IPSec策略來(lái)過(guò)濾掉本機(jī)所有的ICMP數(shù)據(jù)包實(shí)現(xiàn)的。這樣確實(shí)是可以有效的“防Ping”，但同時(shí)也會(huì)留下后遺癥。

　　因?yàn)镻ing命令和ICMP協(xié)議(Internet Control and Message Protocal)有著密切的關(guān)系，在ICMP協(xié)議的應(yīng)用中包含有11種報(bào)文格式，其中Ping命令就是利用ICMP協(xié)議中的“Echo Request”報(bào)文進(jìn)行工作的。但I(xiàn)PSec安全策略防Ping時(shí)采用格殺勿論的方法，把所有的ICMP報(bào)文全部過(guò)濾掉，特別是很多有用的其它格式的報(bào) 文也同時(shí)被過(guò)濾掉了。因此在某些有特殊應(yīng)用的局域網(wǎng)環(huán)境中，容易出現(xiàn)數(shù)據(jù)包丟失的現(xiàn)象，影響用戶正常辦公，因此筆者建議大家還是要慎用IPSec安全策略 “防Ping”。

　　二、使用第三方防火墻工具

　　大家已經(jīng)知道了IPSec安全策略“防Ping”的不足之處，為了保證本地機(jī)器發(fā)出的數(shù)據(jù)包通過(guò)網(wǎng)絡(luò)被正確的傳送給目標(biāo)主機(jī)，大家可以采用別的更加有效的方法，如使用網(wǎng)絡(luò)防火墻“防Ping”。

　　對(duì)于一般的上網(wǎng)用戶來(lái)說(shuō)，使用個(gè)人網(wǎng)絡(luò)防火墻“防Ping”是最簡(jiǎn)單的一種方法。應(yīng)用此方法“防Ping”不需要進(jìn)行復(fù)雜的設(shè)置，只要你正確配置好防火 墻內(nèi)置的“防Ping”規(guī)則，就可以輕松實(shí)現(xiàn)“防Ping”的目的。個(gè)人網(wǎng)絡(luò)防火墻的種類較多，幾乎都可以有效實(shí)現(xiàn)“防Ping”，如天網(wǎng)個(gè)人防火墻、瑞 星個(gè)人網(wǎng)絡(luò)防火墻、Windows防火墻(或ICF)等，下面筆者以瑞星個(gè)人網(wǎng)絡(luò)防火墻為例，介紹如何配置防火墻實(shí)現(xiàn)“防Ping”目的。

　　運(yùn)行瑞星個(gè)人網(wǎng)絡(luò)防火墻主程序后，在主窗口中點(diǎn)擊“設(shè)置→設(shè)置規(guī)則”

　　選項(xiàng)，彈出“瑞星個(gè)人網(wǎng)絡(luò)防火墻規(guī)則設(shè)置”窗口，在規(guī)則列表中一定要選中“缺省的 ICMP入站”規(guī)則，接著雙擊此規(guī)則，彈出“規(guī)則屬性”對(duì)話框，在這里大家可以進(jìn)行詳細(xì)參數(shù)設(shè)置，在“類別”框中選中“系統(tǒng)”選項(xiàng)，“方向”框中選擇“接 收”選項(xiàng)，“協(xié)議”框中一定要選中Ping命令使用的“ICMP”協(xié)議了，操作框中選擇“禁止”選項(xiàng)。這里要注意ICMP報(bào)文類型的選擇，切換到“ICMP類型”標(biāo)簽頁(yè)中，在“類型”下拉列表框中一定要選擇“Echo Request”

　　項(xiàng)，最后點(diǎn)擊“修改”按鈕，保存設(shè)置。這樣瑞星個(gè)人網(wǎng)絡(luò)防火墻就可以過(guò)濾掉，Ping命令所使用的名為“Echo Request”的ICMP報(bào)文了，而別的有用的ICMP報(bào)文則可以安全通過(guò)。完成以上設(shè)置后，就實(shí)現(xiàn)了利用個(gè)人網(wǎng)絡(luò)防火墻有效“防Ping”的目的。

三、使用“路由與遠(yuǎn)程訪問(wèn)”組件

　　對(duì)于局域網(wǎng)用戶來(lái)說(shuō)，個(gè)人網(wǎng)絡(luò)防火墻就很難滿足他們的需要了，這時(shí)你就要使用企業(yè)級(jí)的網(wǎng)絡(luò)防火墻“防Ping”，如ISA 2004等，但對(duì)于一些小型局域網(wǎng)來(lái)說(shuō)，這些企業(yè)級(jí)防火墻過(guò)于昂貴，難以接受，其實(shí)利用Windows 2000/Server 2003服務(wù)器操作系統(tǒng)的“路由和遠(yuǎn)程訪問(wèn)”組件就能解決這個(gè)問(wèn)題，并且該組件是Windows系統(tǒng)內(nèi)置的，不需要額外購(gòu)買(mǎi)。

　　下面筆者以Windows Server 2003系統(tǒng)為例，介紹如何利用“路由和遠(yuǎn)程訪問(wèn)”組件“防Ping”。大家都知道，“路由和遠(yuǎn)程訪問(wèn)”組件內(nèi)置了路由表管理、VPN服務(wù)、IP報(bào)文過(guò)濾 等功能，默認(rèn)情況下，Windows Server 2003系統(tǒng)并沒(méi)有啟用路由和遠(yuǎn)程訪問(wèn)服務(wù)，所以要首先手工啟用它。在Windows Server 2003網(wǎng)關(guān)服務(wù)器中，進(jìn)入到“控制面板→管理工具”窗口，運(yùn)行“路由和遠(yuǎn)程訪問(wèn)”工具，在“路由和遠(yuǎn)程訪問(wèn)”主窗口中，右鍵點(diǎn)擊“本地”服務(wù)器，在彈出 的菜單中選擇“配置并啟用路由及遠(yuǎn)程訪問(wèn)”選項(xiàng)，接著在“路由及遠(yuǎn)程訪問(wèn)服務(wù)器安裝向?qū)А睂?duì)話框中點(diǎn)擊“下一步”按鈕，選擇“自定義配置”選項(xiàng)，然后點(diǎn)擊 “下一步”，在接下來(lái)的窗口中選擇“LAN路由器”選項(xiàng)，最后點(diǎn)擊“完成”按鈕。

　　在“路由和遠(yuǎn)程訪問(wèn)”主窗口中依次展開(kāi)“IP路由選擇→常規(guī)”選項(xiàng)，接著在“常規(guī)”框體中右鍵點(diǎn)擊接入互聯(lián)網(wǎng)的那塊網(wǎng)卡，選擇“屬性”選項(xiàng)，然后在屬性 對(duì)話框中點(diǎn)擊“入站篩選器”按鈕，彈出“入站篩選器”對(duì)話框后，選擇“接收所有除符合下列條件以外的數(shù)據(jù)包”選項(xiàng)，下面點(diǎn)擊“新建”按鈕，彈出“添加IP 篩選器”對(duì)話框，在協(xié)議下拉列表框中選擇“ICMP”協(xié)議，接著在“ICMP類型”和“ICMP代碼”欄中分別輸入“8和0”，最后點(diǎn)擊“確定”按鈕。其 中ICMP類型為“8”、ICMP代碼為“0”的報(bào)文就是Ping命令所使用的“Echo Request”報(bào)文，最后點(diǎn)擊“確定”按鈕，完成“防Ping”設(shè)置。

　　以上筆者介紹了幾種不同的“防Ping”方法，分別適用于不同的網(wǎng)絡(luò)環(huán)境，如果你感興趣的話，不妨試試。