下载文档原格式
防火墙里ping是什么意思防火墙里ping意思介绍一:ping 是dos命令,一般用于检测网络通与不通 ping (packet internet grope),因特网包探索器,用于测试网络连接量的程序。
ping发送一个icmp回声清求消息给目的地并报告是否收到所希望的icmp回声应答。
它是用来检查网络是否通畅或者网络连接速度的命令。
作为一个生活在网络上的管理员或者黑客来说,ping命令是第一个必须掌握的dos命令,它所利用的原理是这样的:网络上的机器都有唯一确定的ip地址,我们给目标ip地址发送一个数据包,对方就要返回一个同样大小的数据包,根据返回的数据包我们可以确定目标主机的存在,可以初步判断目标主机的操作系统等。
ping 是windows系列自带的一个可执行命令。
利用它可以检查网络是否能够连通,用好它可以很好地帮助我们分析判定网络故障。
应用格式:ping ip地址。
该命令还可以加许多参数使用,具体是键入ping按回车即可看到详细说明。
1.ping本机ip 例如本机ip地址为:172.168.200.2。
则执行命令ping 172.168.200.2。
如果网卡安装配置没有问题,则应有类似下列显示: replay from 172.168.200.2 bytes=32 time 防火墙里ping意思介绍二:一般你不禁止的话如果你是外网用户,就是说你有固定的ip 没有用路由器那么对方ping你会显示连接速度如果能连接上的话就可以用木马控制你的机器等等如果你是内网用户也就是说你用adsl 拨号上网或者用了路由器可以不理这个问题,即使他ping 通了也没有多大的用处总之你隐藏了可以防止一定的不速之客的不良用意防火墙里ping意思介绍三:防火墙提示系统被攻击常见的个人防火墙程序所谓的“攻击”并不一定是真正的网络攻击,很多防火墙程序会将网络广播等最常见的网络访问当作攻击来提示我们并记录下来(局域网内此类的提示尤其多)。
防火墙禁止内网访问因特网第一步:添加需要设置的内网ip。
IP 设置这里主要用于预先定义一些IP,以方便用于其地方(如防火墙里的访问规则、服务管理的负载均衡&流量管理等的下拉菜单中使用)。
这里的基本操作有增加、修改、删除。
单击〈添加IP设置〉可以进入相应页面,◆单IP:这里可填入IP和MAC地址,如果IP和MAC都填入,则绑定这个IP和MAC。
◆一组IP:即以子网掩码限定的一组IP。
◆一段IP:即以起始IP和终止IP定义的一段IP地址。
◆其他IP或域名:这里可以填入IP或域名,也可以混合使用。
第二步:设置规则过滤规则网络访问规则评估网络流量的发源地IP 地址,目的地IP 地址和IP 协议种类,并决定是否让这个IP 流量穿透防火墙。
当设定网络访问规则时,记得,取消所有防火墙的保护或禁止所有Internet的访问是不可能的。
在防火墙策略中,可以设置HTTP 的过滤规则, 包括过滤域名,文件后缀名和非标准HTTP 请求。
非标准HTTP 请求只对从内网到外网的HTTP 请求有效,较常用的包括过滤QQ,MSN等即时通信程序。
比如QQ: 首先过滤掉8000,443等QQ上网端口,再过滤掉非标准HTTP 请求(通过80端口上网),就可以阻止QQ 上网。
应为MSN 使用80端口上网,这里的域名过滤是第四层的过滤,与IP 地址设置中的域名不相同,那里的域名如果用在防火墙规则中,是第三层的过滤,可以与这里的域名过滤结合使用。
当创立或删除网络访问规则时要极端的谨慎。
自定义的规则能越过默认的规则,但是有几个默认的规则则永远有效,而且自定义的规则永不得越过这几个规则。
这些是:◆ 从LAN 的那一边到Socks5硬件网关的10000 端口服务是永远允许的。
◆ 从LAN 的那一边来的DHCP 服务是永远允许的。
◆ 从LAN 的那一边来的DNS 服务是永远允许的。
针对性的网络规则,注意:序列号在先的规则先起作用,当检测到数据包符合某条规则后,该规则被执行,防火墙将不再检测后续规则。
【整理】虚拟机和主机ping不通解决办法,虚拟机ping不通外⽹的解决⽅法检查⼏个⽅⾯:1.检查虚拟⽹卡有没有被禁⽤2.检查虚拟机与物理机是否在⼀个VMNet中3.检查虚拟机的IP地址与物理机对应的VMNet是否在⼀个⽹段4.检查虚拟机与物理机的防⽕墙是否允许PING,不⾏的话⼲脆全部关闭vm的联⽹⽅式⼀般有3种⽅式:NAT、bridged 、host-Only。
如下图:虚拟机和主机ping不通解决办法 - danshiming - danshiming的博客图1Bridged⽅式:在图1中Network connection中选中第1项,即在vm ware虚拟机属性⾥⾯设置⽹卡为桥接,这样启动虚拟机后,虚拟系统就会通过⽹卡桥接到局域⽹。
⼀般地宿主机是⾃动获取局域⽹ip,那么虚拟机也设置为⾃动获取局域⽹ip;如果宿主机不是⾃动设置为局域⽹ip,那么就给虚拟机设置⼀个和宿主机(其IP为:10.232.70.9)同⼀⽹段的真实IP,如设置为10.232.70.235,就可以了,⼀样上⽹,跟本机⽆任何区别。
采⽤bridged⽅式需要有你的局域⽹⽹段的ip,这种⽅式不需要Vm1、Vm8同样可以上外⽹。
Nat⽅式:在图1中Network connection中选中第2项使⽤nat⽅式默认的虚拟机配置下使⽤dhcp⾃动获取ip即可。
如果要⾃⼰定义静态ip的话,进⼊edit->virtual network setting->host virtual network mapping->vmnet8,点后⾯的>,subnet可以看到nat所在的⽹段,⾃⼰设置⼀个该⽹段的ip也可以(也可以在此修改为其他⽹段,保证虚拟机中的⽹段和这⾥⼀致),虚拟机⽹关ip在nat标签下可以看到。
个⼈⽐较喜欢⽤nat⽅式,不⽤受限于局域⽹环境。
但是只能虚拟机访问外部⽹络,外部除了主机外其他不能访问虚拟机(但是可以通过设置端⼝映射实现)。
某某项目防火墙配置案例备份链路防火墙接口连接图1.1登录配置F1000-S-EI防火墙的很多配置功能仅支持WEB方式,默认已启用WEB管理,接口G0/0为管理口,IP为192.168.0.1,用户名admin,密码admin.1.2双机热备配置# 配置防火墙设备A。
●在导航栏中选择“高可靠性> 双机热备”。
●选中“使能双机热备功能”前的复选框。
●选择备份类型为“支持非对称路径”。
●单击<修改备份接口>按钮,进入“备份接口配置”页面。
●在“可选的备份接口”框中选中接口“GigabitEthernet0/1”,单击“<<”按钮。
●单击<确定>按钮完成备份接口的配置。
●单击<确定>按钮完成操作。
●重启防火墙设备A。
# 配置防火墙设备B。
防火墙设备 B 上的配置与防火墙设备A 上的配置一致,不再赘述。
注:当前热备状态为“同步运行”时,说明双机热备成功。
1.3防火墙透明模式配置A防火墙:在导航栏中选择“设备管理> 接口管理”界面,配置接口g0/2、g0/3、g0/4为二层模式。
如下图:B防火墙:与上述A防火墙配置一致;1.4安全域配置A防火墙:在导航栏中选择“设备管理> “安全域”界面,将g0/2加入到Untrust域,将g0/3、g0/4加入到trust域;结果如下:B防火墙:与上述A防火墙配置一致;1.5域间安全规则A防火墙:在导航栏中选择“防火墙> 安全策略> 域间策略”,进入域间策略规则的显示页面,单击<新建>按钮,进入新建域间策略规则(即访问控制列表规则)的配置页面。
配置策略如下图:配置防火墙的网管功能防火墙1的网管功能配置<FW-1>sysSystem View: return to User View with Ctrl+Z.[FW-1]interface GigabitEthernet0/0 ----此接口已经加入管理域[FW-1-GigabitEthernet0/0]port link-mode route -----加入管理域后默认就是路由模式[FW-1-GigabitEthernet0/0]ip address 192.168.11.111 255.255.255.0----配置一个IP地址(本IP地址要与核心交换机直连---同一网段,但是不要与传输数据的vlan的IP地址在同一网段,而且不能和另一台防火墙在同一网段。
internet防火墙如何设置intemet防火墙是要有的,才能保护我们的电脑!那么intemet防火墙该怎么样去设置呢?下面由店铺给你做出详细的internet防火墙设置介绍!希望对你有帮助!internet防火墙设置一:一:上网前手动开启防火墙(一般用户)二:用一个文件使防火墙和网络连接一起启动(高级用户)通常,网络防火墙都会有一个安全等级选项。
对于这个选择,绝对不可以随便选。
因为,有不少用户就是因为不根据实际情况选择,而导致无法使用某些网络资源或被黑客有机可乘。
像我这样的固定ip的技术性局域网用户来说,我认为设置为中等即可。
因为,我们不像某些用户那样可以随意改变自己的ip,所以我们的防御必须比动态ip用户要高一些。
但是,是不是越高越好呢?不是。
某些用户,因为不切实际的把安全等级设置为高级,而又不会在规则中设置相应网络规则,而导致无法使用某些网络资源,如在线直播等。
因此,我建议一般用户将规则设置为中低即可。
internet防火墙设置二:宽带上网故障诊断方法如下(以ADSL为例)(1) 首先检查电话线有无问题(可以拨一个电话测试),如果正常,接着检查信号分频器是否连接正常(其中电话线接Line口,电话机接Phone口,ADSL Modem接Modem口)。
(2) 如果信号分频器的连接正常,接着检查ADSL Modem的“Power(电源)”指示灯是否亮,如果不亮,检查`ADSL Modem电源开关是否打开,外置电源是否插接良好等。
(3) 如果亮,接着检查“LINK(同步)”指示灯状态是否正常(常亮为闪烁);如果不正常,检查ADSL Modem的各个连接线是否正常(从信号分频器连接到ADSL Modem的连线是否接在Line口,和网卡连接网线是否接在LAN口,是否插好),如果连接不正确,重新接好连接线。
(4) 如果正常,接着检查“LAN”或“PC”指示灯状态是否正常。
如果不正常,检查ADSL Modem上的LAN口是否接好,如果接好,接着测试网线是否正常,如果不正常,更换网线;如果正常,将电脑和ADSL Modem关闭30秒后,重新开启ADSL Modem和电脑电源。
[原创]天融信防火墙的一个典型配置方案一个典型配置方案现在根据我们的经验,假设几种典型的网络环境,描述“网络卫士”防火墙在这些环境中应该如何配置。
以3个端口的“网络卫士”防火墙为例,其中一个接外网,一个接内网,一个接SSN,在SSN 中有三台服务器,一台是HTTP服务器,一台是FTP服务器,一台是邮件服务器。
有如下需求:内网的机器可以任意访问外网,可以访问SSN中指定的服务器,外网和SSN的机器不能访问内网;外网可以访问SSN中的服务器。
在非动态地址环境下:防火区域配置外网:接在eth1上,缺省访问策略为any(即缺省可读、可写),日志选项为空,禁止ping。
内网:接在eth2上,缺省访问策略为none(不可读、不可写),日志选项为日志命令,允许ping。
SSN:接在eth0上,缺省访问策略为none(不可读、不可写),日志选项为日志命令,禁止ping。
经过以上的配置后,如果没有其他的访问策略和通信策略,则防火墙允许内网上的机器访问外网,允许SSN上的机器访问外网,不允许内网被外网或SSN访问,不允许SSN被外网、内网访问。
(允许访问并不表示可以成功通信,尽管内网被允许访问外网,但假如没有合法的IP地址,也无法进行成功的访问,这个问题在后面NAT配置中将进行详细描述。
)定义三个网络节点FTP_SERVER:代表FTP服务器,区域=DMZ,IP地址=…,物理地址=…。
HTTP_SERVER:代表HTTP服务器,区域=DMZ,IP地址=…,物理地址=…。
MAIL_SERVER:代表邮件服务器,区域=DMZ,IP地址=…,物理地址=…。
配置访问策略根据区域的定义,外网和内网的缺省访问权限已经满足要求,现在只需要进行一些访问策略设置。
在SSN区域中增加三条访问策略:① 访问目的=FTP_SERVER,目的端口=TCP 21。
源=内网,访问权限=读、写。
源=外网,访问权限=读。
这条配置表示内网的用户可以读、写FTP服务器上的文件,而外网的用户只能读文件,不能写文件。
设置路由器防火墙屏蔽迅雷、bt、pp等变态下载的端口
有人整天在用迅雷下载东西,搞得上网都成为问题),因此想想去路由里面把下载端口给禁止了,还限制了上下行流量,虽然不是完全控制住了还是有点效果,希望对共享上网的朋友有点帮助。
先进路由,然后进端口阻挡。
现在的路由一般都带了端口阻挡的虽然没专业级路由厉害,但对小网络来说也足够了,比如说
T-PINGK的还带了花生壳域名映射,DOS阻挡等等。
xunlei - TCP 3077 阻止
xunlei - TCP 3076 阻止
xunlei - TCP 3078 阻止
bt - TCP 6881-6889 阻止
bt - TCP 6969 阻止
xuelei - UDP 3076-3078 阻止
bt - UDP 6881-6889 阻止
bt - UDP 6969 阻止
xuelei - TCP 5200 阻止
xuelei - TCP 6200 阻止
pp - TCP 5354 阻止
pp - UDP 5354 阻止
bt - TCP 1024-1299 阻止。
台式机ping不通路由器怎么办我们的台式机ping通了路由器就可以上网了,拼不通反之不能,拼不通要怎么办解决呢?下面由店铺给你做出详细的台式机ping不通路由器解决方法介绍!希望对你有帮助!台式机ping不通路由器解决方法一:1、路由器开启禁Ping服务。
禁ping其实就是过滤ICMP包,其工作原理是Ping发送一个ICMP(Internet Control Messages Protocol)即因特网信报控制协议;回声请求消息给目的地并报告是否收到所希望的ICMP echo (ICMP回声应答)。
2、远端服务器开启了防火墙功能。
3、无线路由器缓存问题。
4、依照以上3点仔细排查,如果没有发现过滤ICMP包规则及开启相应防火墙功能,这说明问题只能出在无线路由器本身,于是重启了无线路由器,再次尝试发现能ping通192.168.2.1,这说明无线路由器缓存也可能导致不能ping通网关却可以上网。
台式机ping不通路由器解决方法二:1、同一路由器,如果另一台机器完全PING通没问题,另一台电脑PING,那首先考虑网线;2、建议:将路由器拆到不稳定的电脑前,单独用一根网线进行测试,如果没问题,那说明网线问题;3、网线问题也不一定麻烦,最有可能出问题的是两个水晶头,先找网线钳和两个质量好点的水晶头(贵点的,泛蓝或看金手指),换掉,压紧,一般可以解决问题。
网线中间出故障概率较低,除非裸线,被老鼠咬这类。
4、如果单独测试还是不稳定,考虑网卡。
办法很简单,用个外接网卡或另外插一张网卡,把集成网卡关掉(在BIOS中),再进行测试,这样下来,肯定能发现问题。
台式机ping不通路由器解决方法三:可以先重置XP防火墙设置.运行cmd输入netsh firewall reset,如果还是不行,请注意以下:1.确保所有计算机上都安装了TCP/IP,并且工作正常2.使用ping命令测试网络中名称解析是否正常,ping computername,其中computername是远程计算机的名称3.正确安装网络组件4.启动"计算机浏览器"服务5.起用Guest(来宾)帐户6.允许Guest(来宾)帐号从网络上访问。
局域网ping不通局域网内ping不通是一个常见的网络问题,它可能由多种原因引起。
以下是一些排查和解决此类问题的方法:1. 检查物理连接首先,确认所有设备是否正确连接到交换机或路由器。
检查网线是否插好,没有松动或损坏。
如果可能,尝试更换网线或端口,以排除硬件故障。
2. 检查IP地址配置确保所有设备都配置了正确的IP地址,子网掩码,以及默认网关。
可以通过命令行工具如ipconfig(Windows)或ifconfig(Linux/Mac)来查看当前的网络配置。
3. 检查子网掩码如果子网掩码设置不正确,可能会导致网络设备无法正确识别彼此。
确保所有设备在同一个子网内,并且子网掩码设置正确。
4. 检查防火墙设置有时候,防火墙可能会阻止ICMP包,这是ping命令发送的数据包类型。
检查本地防火墙设置,确保没有规则阻止ICMP流量。
5. 检查路由器或交换机配置如果网络设备(如路由器或交换机)配置不正确,可能会导致ping 不通。
检查设备的配置,确保没有设置错误的VLAN或ACL(访问控制列表)。
6. 使用命令行工具进行诊断使用如ping, traceroute, nslookup等命令行工具可以帮助诊断网络问题。
例如,ping命令可以用来测试两台设备之间的连接,而traceroute可以显示数据包到达目标地址的路径。
7. 检查网络服务状态确保网络服务如DNS和DHCP正常运行。
如果这些服务出现问题,可能会导致网络连接问题。
8. 考虑网络拥塞在网络流量高峰时段,网络拥塞可能会导致ping请求延迟或失败。
尝试在不同时间进行ping测试,以排除网络拥塞的影响。
9. 检查操作系统设置某些操作系统设置可能会影响网络连接。
例如,Windows的网络防火墙或Mac的防火墙可能需要调整以允许ping请求。
10. 考虑网络硬件故障如果以上步骤都无法解决问题,可能是网络硬件出现了故障。
检查网络设备,如交换机、路由器或网卡,看是否有故障迹象。
ICMP协议有一个特点---它是无连结的,也就是说只要发送端完成ICMP报文的封装并传递给路由器,这个报文将会象邮包一样自己去寻找目的地址,这个特点使得ICMP协议非常灵活快捷,但是同时也带来一个致命的缺陷---易伪造(邮包上的寄信人地址是可以随便写的),任何人都可以伪造一个ICMP报文并发送出去,伪造者可以利用SOCK_RAW编程直接改写报文的ICMP首部和IP首部,这样的报文携带的源地址是伪造的,在目的端根本无法追查,(攻击者不怕被抓那还不有恃无恐?)根据这个原理,外面出现了不少基于ICMP的攻击软件,有通过网络架构缺陷制造ICMP风暴的,有使用非常大的报文堵塞网络的,有利用ICMP碎片攻击消耗服务器CPU的,甚至如果将ICMP协议用来进行通讯,可以制作出不需要任何TCP/UDP端口的木马(参见《揭开木马的神秘面纱三》)......既然ICMP协议这么危险,我们为什么不关掉它呢?
我们都知道,Win2000在网络属性中自带了一个TCP/IP过滤器,我们来看看能不能通过这里关掉ICMP协议,桌面上右击网上邻居->属性->右击你要配置的网卡->属性->TCP/IP->高级->选项->TCP/IP过滤,这里有三个过滤器,分别为:TCP端口、UDP端口和IP协议,我们先允许TCP/IP过滤,然后一个一个来配置,先是TCP端口,点击"只允许",然后在下面加上你需要开的端口,一般来说WEB服务器只需要开80(www),FTP服务器需要开20(FTP Data),21(FTP Control),邮件服务器可能需要打开25(SMTP),110(POP3),以此类推......接着是UDP,UDP协议和ICMP协议一样是基于无连结的,一样容易伪造,所以如果不是必要(例如要从UDP提供DNS服务之类)应该选择全部不允许,避免受到洪水(Flood)或碎片(Fragment)攻击。最右边的一个编辑框是定义IP协议过滤的,我们选择只允许TCP协议通过,添加一个6(6是TCP在IP协议中的代码,IPPROTO_TCP=6),从道理上来说,只允许TCP协议通过时无论UDP还是ICMP都不应该能通过,可惜的是这里的IP协议过滤指的是狭义的IP协议,从架构上来说虽然ICMP协议和IGMP协议都是IP协议的附属协议,但是从网络7层结构上ICMP/IGMP协议与IP协议同属一层,所以微软在这里的IP协议过滤是不包括ICMP协议的,也就是说即使你设置了“只允许TCP协议通过”,ICMP报文仍然可以正常通过,所以如果我们要过滤ICMP协议还需要另想办法。 刚刚在我们进行TCP/IP过滤时,还有另外一个选项:IP安全机制(IP Security),我们过滤ICMP的想法就要着落在它身上。
打开本地安全策略,选择IP安全策略,在这里我们可以定义自己的IP安全策略。 一个IP安全过滤器由两个部分组成:过滤策略和过滤操作,过滤策略决定哪些报文应当引起过滤器的关注,过滤操作决定过滤器是“允许”还是“拒绝”报文的通过。要新建IP安全过滤器,必须新建自己的过滤策略和过滤操作:右击本机的IP安全策略,选择管理IP过滤器,在IP过滤器管理列表中建立一个新的过滤规则:ICMP_ANY_IN,源地址选任意IP,目标地址选本机,协议类型是ICMP,切换到管理过滤器操作,增加一个名为Deny的操作,操作类型为"阻止"(Block)。这样我们就有了一个关注所有进入ICMP报文的过滤策略和丢弃所有报文的过滤操作了。需要注意的是,在地址选项中有一个镜像选择,如果选中镜像,那么将会建立一个对称的过滤策略,也就是说当你关注any IP->my IP的时候
熟悉网络的人都知道Ping,Ping是用于检测网络连接性、可到达性和名称解析的疑难问题的主要TCP/IP命令。Ping最主要的用处就是检测目标主机是否可连通。
黑客要入侵,就得先锁定目标,一般都是通过使用Ping命令来检测主机,获取相关信息,然后再进行漏洞扫描。如何不受别人的攻击?那就是阻止别人Ping自己的电脑,让攻击无从着手。笔者介绍四种常见的阻止Ping的方法,供大家参考:
一、用高级设置法预防Ping 默认情况下,所有Internet控制消息协议(ICMP)选项均被禁用。如果启用ICMP选项,您的网络将在 Internet 中是可视的,因而易于受到攻击。
如果要启用ICMP,必须以管理员或Administrators 组成员身份登录计算机,右击“网上邻居”,在弹出的快捷菜单中选择“属性”即打开了“网络连接”,选定已启用Internet连接防火墙的连接,打开其属性窗口,并切换到“高级”选项页,点击下方的“设置”,这样就出现了“高级设置”对话窗口,在“ICMP”选项卡上,勾选希望您的计算机响应的请求信息类型,旁边的复选框即表启用此类型请求,如要禁用请清除相应请求信息类型即可。
二、用网络防火墙阻隔Ping 使用防火墙来阻隔Ping是最简单有效的方法,现在基本上所有的防火墙在默认情况下都启用了ICMP过滤的功能。在此,以金山网镖2003和天网防火墙2.50版为蓝本来说明。
对于使用金山网镖2003的网友,请用鼠标右击系统托盘中的金山网镖2003图标,在弹出的快捷菜单中选择“实用工具”中的“自定义IP规则编辑器”,在出现的窗口中选中“防御ICMP类型攻击”规则,消除“允许别人用ping命令探测本机”规则,保存应用后就发挥效应。
如果您用的是天网防火墙,在其主界面点击“自定义IP规则”,然后不勾选“防止别人用ping命令探测”规则,勾选“防御ICMP攻击”规则,然后点击“保存/应用”使IP规则生效。
三、启用IP安全策略防Ping IP安全机制(IP Security)即IPSec 策略,用来配置 IPSec 安全服务。这些策略可为多数现有网络中的多数通信类型提供各种级别的保护。您可配置 IPSec 策略以满足计算机、应用程序、组织单位、域、站点或全局企业的安全需要。可使用 Windows XP 中提供的“IP 安全策略”管理单元来为 Active Directory 中的计算机(对于域成员)或本地计算机(对于不属于域的计算机)定义 IPSec 策略。
在此以WINDOWS XP为例,通过“控制面板”—“管理工具”来打开“本地安全策略”,选择IP安全策略,在这里,我们可以定义自己的IP安全策略。一个IP安全过滤器由两个部分组成:过滤策略和过滤操作。要新建IP安全过滤器,必须新建自己的过滤策略和过滤操作,右击窗口左侧的“IP安全策略,在本地机器”,在弹出的快捷菜单中选择“创建IP安全策略”,单击“下一步”,然后输入策略名称和策略描述。单击“下一步”,选中“激活默认响应规则”复选项,单击“下一步”。开始设置响应规则身份验证方式,选中“此字符串用来保护密钥交换(预共享密钥)”选项,然后随便输入一些字符(后面还会用到这些字符的),单击“下一步”,就会提示已完成IP安全策略,确认选中了“编辑属性”复选框,单击“完成”按钮,会打开其属性对话框。 接下来就要进行此新建安全策略的配置。在“Goodbye Ping 属性”对话窗口的“规则”选项页中单击“添加”按钮,并在打开安全规则向导中单击“下一步”进行隧道终结设置,在这里选择“此规则不指定隧道”。单击“下一步”,并选择“所有网络连接”以保证所有的计算机都Ping不通。单击“下一步”,设置身份验证方式,与上面一样选择第三个选项“此字符串用来保护密钥交换(预共享密钥)”并填入与刚才上面相同的内容。单击“下一步”即打开“IP筛选器列表”窗口,在“IP筛选器列表”中选择“新IP筛选器列表”,单击右侧的“编辑”,在出现的窗口中点击“添加”,单击“下一步”,设置“源地址”为“我的IP地址”,单击“下一步”,设置“目标地址”为“任何IP地址”,单击“下一步”,选择协议类型为ICMP,单击“完成”后再点“确定”返回如图9的窗口,单击“下一步”,选择筛选器操作为“要求安全”选项,然后依次点击“下一步”、“完成”、“确定”、“关闭”按钮保存相关的设置返回管理控制台。
最后在“本地安全设置”中右击配置好的“Goodbye Ping”策略,在弹出的快捷菜单中选择“指派”命令使配置生效。
经过上面的设置,当其他计算机再Ping该计算机时,就不再Ping通了。但如果自己Ping本地计算机,仍可Ping通。在Windows 2000中操作基本相同。
四、修改TTL值防Ping 许多入侵者喜欢用TTL值来判断操作系统,他们首先会Ping一下你的机子,如看到TTL值为128就认为你的系统为Windows NT/2000,如果TTL值为32则认为目标主机操作系统为Windows 95/98,如果为TTL值为255/64就认为是UNIX/Linux操作系统。既然入侵者相信TTL值所反应出来的结果,那么我们不妨修改TTL值来欺骗入侵者,达到保护系统的目的。方法如下:
打开Windows自带的“记事本”程序,编写如下所示的批处理命令: @echo REGEDIT4>>ChangeTTL.reg @echo.>>ChangeTTL.reg @echo [HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\Tcpip\Parameters]>>ChangeTTL.reg @echo "DefaultTTL"=dword:000000ff">>ChangeTTL.reg @REGEDIT /S /C ChangeTTL.reg 另存为以.bat为扩展名的批处理文件,点击这个文件,你的操作系统的缺省TTL值就会被修改为ff,即十进制的255,即把你的操作系统人为地改为UNIX系统了!
"DefaultTTL"=dword:000000ff"是用来设置系统缺省TTL值的,如果你想将自己的操作系统的TTL值改为其它操作系统的ICMP回显应答值,请改变"DefaultTTL"的键值,要注意它的键值为16进制。
如何禁止别人ping自己的主机(2000自带) 我的电脑-控制面板-管理工具-本地安全策略-ip安全策略 这是2000给我们的配置ip管理的工具,我这里只说一下如何禁止别人ping我的主机。
共有四个步骤: 1。建立禁ping 规则 2。建立禁止/允许规则 3。把这两个规则联系在一起 4。指派 详细: 1。右击ip安全策略-管理ip筛选器表和筛选器操作-ip筛选器列表-添加:名称:ping;描述:ping;(勾选“使用添加向导”),---添加-下一步:指定源/目的ip ,协议类型(icmp),下一步直至完成,关闭此对话框。
