第十二步:接着指定IP通讯的目的地址,类似于规则中的目的地址。可供我们选择的有“一个特定的IP子网络”(一个区域包括网络号和子网掩码),“一个特定的IP地址”(一个地址),“一个特定的DNS名称”(对域名进行过滤,即使他的IP是变化的),“任何IP地址”(所有IP地址),“我的IP地址”(本机IP地址)。设置完后点“下一步”继续
第十三步:当我们想对某个域名进行过滤的时候,可以在目的地址处选择“一个特定的DNS名称”,然后在主机名处输入对应的域名。例如我们sohu.com第十四步:由于sohu.com对应的是很多的IP地址,而且是动态的IP地址。因此系统会首先查看本地DNS缓存,读取缓存中对应的IP地址进行过滤
第十五步:选择通讯协议类型,包括我们常用的TCP和UDP,还可以设置为任意V第十六步:完成IP筛选器建立向导,点“完成”按钮结束此操作第十七步:我们会在刚刚见过的IP筛选器列表窗口中看到添加的规则。由于这些规则都是在同一个筛选器中,所以规则可以同时生效
第十八步:点“添加”和“关闭”按钮保存之前的设置,我们会在“IP筛选器列表”中看到新建立的名为“新IP筛选器列表”的筛选器
小提示:默认情况下,IP Filter的作用是单方面的,比如Source: A, Destination: B,则防火墙只对A->B的流量起作用,对B->A的流量则略过不计。选中Mirror,则防火墙对A<->B的双向流量都进行处理(相当于一次添加了两条规则)。
这时我们在通过本机访问sohu.com网站时就会收到失败的回应消息。当然本次只是介绍简单过滤规则的建立方法,在实际使用中明确过滤的源地址,目的地址,使用协议后都可以使用此方法结合IPSEC中的IP Filter达到防火墙过滤非法数据包的功能。
四、IP Filter高级技巧:
(1)备份设置的过滤规则:
如果我们已经建立了很多条过滤规则如何将其保存以备后用或者其他计算机使用呢?实际上操作起来很简单,在“IP安全策略,在本地计算机”上点鼠标右键选择“所有任务”下的“导出策略”即可。当我们到其他计算机上使用“所有任务”下的“导入策略”可以实现多台计算机快速使用同一个策略的功能
(2)单防火墙也要多策略:
可能有的读者使用的是笔记本,经常在家中和公司场合交替使用,如何让IP Filter单过滤系统拥有多策略呢?也就是说在家中使用一套过滤方案,在公司使用另一套过滤方案。
方法很简单我们按照上面说的步骤在“IP筛选器列表”中建立多个筛选器即可,依次起名“公司IPSEC设置”与“家里IPSEC设置”。这样在不同场所使用不同过滤列表即可
(3)快速还原初始设置:
IP Filter有一个默认设置,当我们为IP Filter添加了这样或那样的过滤规则后发现网络无法使用了,这说明我们添加规则的时候出现了问题。如何快速解决此问题呢?一个一个的删除过滤规则是可以的,但是太麻烦了。我们完全可以通过IP Filter中的“恢复默认设置”来完成。方法是在IP安全策略,在本地计算机”上点鼠标右键选择“所有任务”下的“还原默认策略”即可。这样我们设置的所有策略都将被清空
总结:
可能有的读者会问到IPSec中的IP Filter有什么优势呢?实际上还有一个利用IP Filter的方法,桌面上右击网上邻居->属性->右击任意一块网卡->属性->TCP/IP->高级->选项->TCP/IP过滤,这里有三个过滤器,分别为:TCP端口、UDP端口和IP协议。但是这里的过滤处理感觉比较简单,适合纯粹的服务器应用,而且不能屏蔽IP地址,功能不如前面所述。 另外IPSec中的IP Filter,并不能对ICMP进行很好的处理(无法过滤/保留特定内容),如果对这方面有要求,可以使用Routing&Remote Access来处理(该组件在Server以上版本才有)。