一.建立IP篩選器和篩選器操作

1."開始"->"程式"->"管理工具"->"本地安全策略".微軟建議使用本地安全策略進行IPsec的設定,因為本地安全策略只應用到本地計算機上,而通常ipsec都是針對某臺計算機量身定作的.

2.右擊"Ip安全策略,在本地機器",選擇"管理IP篩選器表和篩選器操作",啟動管理IP篩選器表和篩選器操作對話方塊.我們要先建立一個IP篩選器和相關操作才能夠建立一個相應的IPsec安全策略.

3)在IP通訊源頁面,源地方選"任何IP地址",因為我們要阻止傳入的訪問.下一步.

4)在IP通訊目標頁面,目標地址選"我的IP地址".下一步.

5)在IP協議型別頁面,選擇"TCP".下一步.

6)在IP協議埠頁面,選擇"到此埠"並設定為"135",其它不變.下一步.

7)完成.關閉IP篩選器列表對話方塊.會發現tcp135IP篩選器出現在IP篩選器列表中.

4.選擇"管理篩選器操作"標籤,建立一個拒絕操作:

2)在篩選器操作名稱頁面,填寫名稱,這兒填寫"拒絕".下一步.

3)在篩選器操作常規選項頁面,將行為設定為"阻止".下一步.

4)完成.

5.關閉"管理IP篩選器表和篩選器操作"對話方塊.

二.建立IP安全策略

2.在IP安全策略名稱頁面,填寫合適的IP安全策略名稱,這兒我們可以填寫"拒絕對tcp135埠的訪問",描述可以隨便填寫.下一步.

3.在安全通訊要求頁面,不選擇"啟用預設響應規則".下一步.

4.在完成頁面,選擇"編輯屬性".完成.

5.在"拒絕對tcp135埠的訪問屬性"對話方塊中進行設定.首先設定規則:

2)在隧道終結點頁面,選擇預設的"此規則不指定隧道".下一步.

3)在網路型別頁面,選擇預設的"所有網路連線".下一步.

4)在身份驗證方法頁面,選擇預設的"windows2000預設值(KerberosV5協議)".下一步.

5)在IP篩選器列表頁面選擇我們剛才建立的"tcp135"篩選器.下一步.

6)在篩選器操作頁面,選擇我們剛才建立的"拒絕"操作.下一步.

7)在完成頁面,不選擇"編輯屬性",確定.

6.關閉"拒絕對tcp135埠的訪問屬性"對話方塊.

三.指派和應用IPsec安全策略

1.預設情況下,任何IPsec安全策略都未被指派.首先我們要對新建立的安全策略進行指派.在本地安全策略MMC中,右擊我們剛剛建立的""拒絕對tcp135埠的訪問屬性"安全策略,選擇"指派".

2.立即重新整理組策略.使用"secedit/refreshpolicymachine_policy"命令可立即重新整理組策略.