2022年职称计算机：防范被Ping与封闭端口

2022年职称计算机：防范被Ping与封闭端口

Ping命令它可以向你供应的地址发送一个小的数据包，然后侦听这台机器是否有“答复”。查找现在哪些机器在网络上活动。使用Ping入侵即是ICMP入侵，原理是通过Ping在一个时段内连续向计算机发出大量恳求使得计算机的CPU占用率居高不下到达100%而系统死机甚至崩溃。基于此，写这篇IP安全策略防Ping文章以保障自己的系统安全。

其实防Ping安装和设置防火墙也可以解决，但防火墙并不是每一台电脑都会去装，要考虑资源占用还有设置技巧。假如你安装了防火墙但没有去修改、添加IP规章那一样没用。有些配置不是很高为免再给防火墙占用资源用手工在自己系统中设置安全略是一个上上的方法。

下面就写下详细创立过程：

（一）创立IP安全策略

1、依次单击“开头→掌握面板→治理工具→本地安全策略”，翻开“本地安全设置”，右击该对话框左侧的“IP安全策略，在本地计算机”选项，执行“创立IP安全策略”命令。（之间有些简洁的点击下一步之类的过程省略不写）

2、在消失的“默认响应规章身份验证方法”对话框中我们选中“此字符串用来爱护密钥交换（预共享密钥）”选项，然后在下面的文字框中任意键入一段字符串。（如“制止Ping”）

3、完成了IP安全策略的创立工作后在“IP筛选器列表”窗口中单击“添加”按钮，此时将会弹出“IP筛选器向导”窗口，我们单击“下一步”，此时将会弹出“IP通信源”页面，在该页面中设置“源地址”为“我的IP地址”：“目标地址”为“任何IP地址”，任何IP地址的计算机都不能Ping你的机器。

在“筛选器属性”中可封闭端口。比方封闭TCP协议的135端口：在“选择协议类型”的下拉列表中选择“TCP”，然后在“到此端口”下的文本框中输入“135”，点击“确定”按钮，这样就添加了一个屏蔽TCP135（RPC）端口的筛选器，它可以防止外界通过135端口连上你的电脑。重复可封闭TCPUDP等自己认为需要封闭的端口。这里不一一写出。

4、依次单击“下一步”→“完成”，此时，你将会在“IP筛选器列表”看到刚刚创立的筛选器，将其选中后单击“下一步”，我们在消失的“筛选器操作”页面中设置筛选器操作为“需要安全”选项。

（二）指派IP安全策略

安全策略创立完毕后并不能立刻生效，我们还需通过“指派”功能令其发挥作用。方法是：在“掌握台根节点”中右击“新的IP安全策略”项，然后在弹出的右键菜单中执行“指派”命令，即可启用该策略。

至此，这台主机已经具备了拒绝其他任何机器Ping自己IP地址的功能，不过在本地仍旧能够Ping通自己。经过这样的设置之后，全部用户（包括治理员）都不能在其他机器上对此效劳器进展Ping操作。从今你再也不用担忧被Ping威逼。假如再把一些黑客工具、木马常探寻的端口封闭那你的系统就更加固若金汤了。

Ping的工作过程及单向Ping通的缘由

当网络消失问题时，我们最常用的测试工具就是“Ping”命令了。但有时候我们会遇到单方向Ping通的现象，例如通过HUB或一根穿插线连接的在同一个局域网内的电脑A、B，在检查它们之间的网络连通性时，发觉从主机APing主机B正常而从主机BPing主机A时，消失“超时无应答”错误。为什么呢?

要知道这其中的神秘，我们有必要来看看Ping命令的工作过程究竟是怎么样的。

假定主机A的IP地址是192.168.1.1，主机B的IP地址是192.168.1.2，都在同一子网内，则当你在主机A上运行“Ping192.168.1.2”后，都发生了些什么呢?

首先，Ping命令会构建一个固定格式的ICMP恳求数据包，然后由ICMP协议将这个数据包连同地址“192.168.1.2”一起交给IP层协议(和ICMP一样，实际上是一组后台运行的进程)，IP层协议将以地址“192.168.1.2”作为目的地址，本机IP地址作为源地址，加上一些其他的掌握信息，构建一个IP数据包，并在一个映射表中查找出IP地址192.168.1.2所对应的物理地址(也叫MAC地址，熟识网卡配置的朋友不会生疏，这是数据链路层协议构建数据链路层的传输单元——帧所必需的)，一并交给数据链路层。后者构建一个数据帧，目的地址是IP层传过来的物理地址，源地址则是本机的物理地址，还要附加上一些掌握信息，依据以太网的介质访问规章，将它们传送出去。

主机B收到这个数据帧后，先检查它的目的地址，并和本机的物理地址比照，如符合，则接收;否则丢弃。接收后检查该数据帧，将IP数据包从帧中提取出来，交给本机的IP层协议。同样，IP层检查后，将有用的信息提取后交给ICMP协议，后者处理后，立刻构建一个ICMP应答包，发送给主机A，其过程和主机A发送ICMP恳求包到主机B一模一样。

从Ping的工作过程，我们可以知道，主机A收到了主机B的一个应答包，说明两台主机之间的去、回通路均正常。也就是说，无论从主机A到主机B，还是从主机B到主机A，都是正常的。那么，是什么缘由引起只能单方向Ping通的呢?

一、安装了个人防火墙

在共享上网的机器中，出于安全考虑，大局部作为效劳器的主机都安装了个人防火墙软件，而其他作为客户机的机器则一般担心装。几乎全部的个人防火墙软件，默认状况下是不允许其他机器Ping本机的。一般的做法是将来自外部的ICMP恳求报文滤掉，但它却对本机出去的ICMP恳求报文，以及来自外部的ICMP应答报文不加任何限制。这样，从本机Ping其他机器时，假如网络正常，就没有问题。但假如从其他机器Ping这台机器，即使网络一切正常，也会消失“超时无应答”的错误。

大局部的单方向Ping通现象源于此。解决的方法也很简洁，依据你自己所用的不同类型的防火墙，调整相应的设置即可。

二、错误设置IP地址

正常状况下，一台主机应当有一个网卡，一个IP地址，或多个网卡，多个IP地址(这些地址肯定要处于不同的IP子网)。但对于在公共场所使用的电脑，特殊是网吧，人多手杂，其中不泛有“探究者”。曾有一次两台电脑也消失了这种单方向Pi