您可以使用 Internet 協(xié)議安全 (IPSec) 來保護(hù)基于 Windows 2000 的計(jì)算機(jī)上的網(wǎng)絡(luò)通信。IPSec 適用于基于 IPSec 策略的通信。您可以使用 IPSec 策略來確定何時(shí)應(yīng)使用 IPSec 保護(hù)計(jì)算機(jī)之間的通信。還可以使用 IPSec 策略控制允許進(jìn)出計(jì)算機(jī)網(wǎng)絡(luò)接口的數(shù)據(jù)包。 IPSec 策略基于兩個(gè)元素： • IP 篩選器列表 - 和 - • IP 篩選器操作 Internet 協(xié)議 (IP) 篩選器列表是一個(gè)協(xié)議和文件夾的列表。例如，您可以創(chuàng)建一個(gè)允許所有計(jì)算機(jī)訪問本地接口上的 TCP 端口 80 的篩選器列表項(xiàng)。同一篩選器列表中的另一項(xiàng)可能允許訪問本地接口上的 TCP 端口 25，而第三個(gè)篩選器列表項(xiàng)可能允許訪問本地接口上的用戶數(shù)據(jù)報(bào)協(xié)議 (UDP) 端口 53。 如果到達(dá)計(jì)算機(jī)接口的數(shù)據(jù)包在篩選器列表 上有一個(gè)相匹配的項(xiàng)，IPSec 策略代理將應(yīng)用您分配給該篩選器列表的篩選器操作。例如，如果向上述篩選器列表分配一個(gè)“阻止”篩選器操作，那么，任何發(fā)往 TCP 端口 80、TCP 端口 25 或 UDP 端口 53 的數(shù)據(jù)包都將被阻止。不過，如果向上述篩選器列表分配一個(gè)“允許”篩選器操作，則允許數(shù)據(jù)包發(fā)往 TCP 端口 80、TCP 端口 25 或 UDP 端口 53。 您可以使用 IPSec 篩選器列表和篩選器操作來有效地控制對(duì)所有接口的訪問。注意，IPSec 策略將應(yīng)用于多主計(jì)算機(jī)上的所有接口。您不能有選擇性地將 IPSec 策略應(yīng)用于特定接口。 Windows 2000 包括下面兩個(gè)默認(rèn)的 IP 篩選器列表： • 所有 ICMP 通訊 - 和 - • 所有 IP 通訊 有三種默認(rèn)的篩選器操作： • 允許 - 和 - • 請(qǐng)求安全設(shè)置（可選） - 和 - • 需要安全設(shè)置 返回頁首 如何創(chuàng)建 IPSec 篩選器列表 要?jiǎng)?chuàng)建應(yīng)用于入站 TCP 端口 80 和 TCP 端口 25 的 IPSec 篩選器列表，請(qǐng)執(zhí)行以下操作： 1. 單擊 開始 ，指向 程序 ，指向 管理工具 ，然后單擊 本地安全策略 。 2. 單擊以展開 安全設(shè)置 。 3. 右鍵單擊左窗格中的 IP 安全策略 ，然后單擊“管理 IP 篩選器”。 4. 單擊“管理 IP 篩選器列表和篩選器操作”對(duì)話框中的 管理 IP 篩選器列表 選項(xiàng)卡，然后單擊 添加 。 5. 在 名稱 框中鍵入 入站 TCP 80 和 25 ，然后在 描述 框中鍵入 允許到 TCP 端口 80 和 25 的入站通信 。 6. 單擊以清除 使用“添加向?qū)А?復(fù)選框，然后單擊 添加 以添加一個(gè)新的篩選器列表項(xiàng)。 7. 單擊 尋址 選項(xiàng)卡。 8. 在“源地址”框中單擊 任何 IP 地址 。 9. 在“目標(biāo)地址”框中單擊 我的 IP 地址 。此配置指明該篩選器將應(yīng)用于入站數(shù)據(jù)包。 10. 單擊以清除 鏡像 復(fù)選框。 11. 單擊 協(xié)議 選項(xiàng)卡。 12. 在“選擇協(xié)議類型”框中單擊 TCP 。 13. 單擊“從任意端口”，然后單擊“到此端口”。 14. 在“到此端口”框中鍵入 80 。 15. 單擊 應(yīng)用 ，然后單擊 確定 。 16. 在 IP 篩選器列表 對(duì)話框中單擊 添加 。 17. 單擊 尋址 選項(xiàng)卡。 18. 在“源地址”框中單擊 任何 IP 地址 。 19. 在“目標(biāo)地址”框中單擊 我的 IP 地址 。此配置指明該篩選器將應(yīng)用于入站數(shù)據(jù)包。 20. 單擊以選中 鏡像 復(fù)選框。執(zhí)行此操作后，將創(chuàng)建一個(gè)具有相反的源和目標(biāo) IP 地址的篩選器。 21. 單擊 協(xié)議 選項(xiàng)卡。 22. 在“選擇協(xié)議類型”框中單擊 TCP 。 23. 單擊“從任意端口”，然后單擊“到此端口”。 24. 在“到此端口”框中鍵入 25 。 25. 單擊 應(yīng)用 ，然后單擊 確定 。 26. 在 IP 篩選器列表 對(duì)話框中單擊 關(guān)閉 。 返回頁首 如何創(chuàng)建基于篩選器列表的 IPSec 策略 要?jiǎng)?chuàng)建基于篩選器列表的 IPSec 策略，請(qǐng)執(zhí)行以下操作： 1. 右鍵單擊左窗格中的 IP 安全策略 ，然后單擊 創(chuàng)建 IP 安全策略 。 2. 在“歡迎使用 IP 安全策略向?qū)А敝袉螕?下一步 。 3. 在 IP 安全策略名稱 對(duì)話框的 名稱 框中，鍵入 允許入站 TCP 80 和 25 ，然后單擊 下一步 。 4. 單擊以清除“激活默認(rèn)響應(yīng)規(guī)則”復(fù)選框，然后單擊 下一步 。 5. 在 正在完成 IP 安全策略向?qū)?對(duì)話框中，單擊以選中“編輯屬性”復(fù)選框（如果尚未選中），然后單擊 完成 。 6. 單擊 規(guī)則 選項(xiàng)卡。 7. 單擊以清除 使用“添加向?qū)А?復(fù)選框，然后單擊 添加 。 8. 單擊 IP 篩選器列表 選項(xiàng)卡。 9. 單擊“入站 TCP 80 和 25 IP 篩選器列表”左邊的 選項(xiàng) 。 10. 單擊 篩選器操作 選項(xiàng)卡。 11. 單擊 允許 左邊的 選項(xiàng) 。 12. 單擊 應(yīng)用 ，然后單擊 確定 。 13. “入站 TCP 80 和 25 篩選器列表”復(fù)選框被選中。單擊 關(guān)閉 。 IPSec 策略檢查發(fā)往本地接口上的 TCP 端口 80 和 TCP 端口 25 的數(shù)據(jù)包，然后將這些數(shù)據(jù)包與允許數(shù)據(jù)包通過此接口的“允許”篩選器操作相匹配。 注意 ：如果分配此策略，將允許所有通信，因?yàn)闆]有阻止其他通信的“拒絕”規(guī)則。如果希望僅允許上述策略中指定的通信，則必須創(chuàng)建拒絕所有通信的“拒絕”規(guī)則。