唐磊

摘要：隨著計(jì)算機(jī)網(wǎng)絡(luò)技術(shù)的發(fā)展，如何保障計(jì)算機(jī)實(shí)訓(xùn)機(jī)房的數(shù)據(jù)安全成為重中之重，本文討論如何利用IP安全策略來(lái)保障機(jī)房?jī)?nèi)計(jì)算機(jī)之間的數(shù)據(jù)安全，從而防止其他非法用戶對(duì)其數(shù)據(jù)的訪問(wèn)。

關(guān)鍵詞：IP安全策略；網(wǎng)絡(luò)共享；篩選器；協(xié)議

中圖分類號(hào)：TP393 文獻(xiàn)標(biāo)識(shí)碼：A 文章編號(hào)：1007-9416（2017）09-0179-02

1 引言

以我校某計(jì)算機(jī)實(shí)訓(xùn)機(jī)房為例，該實(shí)訓(xùn)機(jī)房中計(jì)算機(jī)之間通過(guò)交換相聯(lián)組成局域網(wǎng)。其中1臺(tái)為教師機(jī)，教師機(jī)通過(guò)極域教室軟件控制學(xué)生機(jī)進(jìn)行教學(xué)演示，為學(xué)生機(jī)提供教學(xué)和考試素材下載，收取學(xué)生機(jī)作業(yè)。由于網(wǎng)絡(luò)共享是互通的，學(xué)生機(jī)通過(guò)網(wǎng)絡(luò)共享下載教師機(jī)上的教學(xué)和考試素材，學(xué)生機(jī)之間也可通過(guò)網(wǎng)絡(luò)共享互相傳送文件。在實(shí)訓(xùn)和考試時(shí)，某個(gè)學(xué)生將作業(yè)所在的文件夾開(kāi)通網(wǎng)絡(luò)共享，其他學(xué)生也可通過(guò)網(wǎng)絡(luò)共享下載作業(yè)，導(dǎo)致實(shí)訓(xùn)和考試時(shí)，無(wú)法檢測(cè)出學(xué)生實(shí)訓(xùn)和考試的真實(shí)水平，影響教師對(duì)課程教學(xué)工作的開(kāi)展。本文通過(guò)IP安全策略來(lái)解決以上問(wèn)題，保障計(jì)算機(jī)實(shí)訓(xùn)機(jī)房數(shù)據(jù)安全。

2 IP安全策略簡(jiǎn)介

IP安全策略是一個(gè)給予通訊分析的策略，是Windows 2000及以后版本中新增加的一種安全技術(shù)。它將通訊內(nèi)容與設(shè)定好的規(guī)則進(jìn)行比較以判斷通訊是否與預(yù)期相吻合，然后決定是允許還是拒絕通訊的傳輸，它彌補(bǔ)了傳統(tǒng)TCP/IP設(shè)計(jì)上的“隨意信任”重大安全漏洞，可以實(shí)現(xiàn)更仔細(xì)更精確的TCP/IP安全，其功能類似于防火墻中的ACL（Access Control List，訪問(wèn)控制列表）。當(dāng)配置好IP安全策略后，就如同在自己電腦上安裝了一個(gè)免費(fèi)，但功能完善的防火墻。

3 IP安全策略的運(yùn)行

（1）第一種方法。1）使用“WIN+R”快捷鍵，在“運(yùn)行”對(duì)話框窗口的“打開(kāi)”編輯框中輸入“gpedit.msc”，單擊[確定]按鈕，啟動(dòng)“本地組策略編輯器”對(duì)話框窗口；2）單擊展開(kāi)“計(jì)算機(jī)配置→Windows設(shè)置→安全設(shè)置”，選擇“IP安全策略”。

（2）第二種方法。1）使用“WIN+R”快捷鍵，在“運(yùn)行”對(duì)話框窗口的“打開(kāi)”編輯框中輸入“secpol.msc”，單擊[確定]按鈕，啟動(dòng)“本地安全策略”對(duì)話框窗口；2）選擇“安全設(shè)置”下的“IP安全策略”。

（3）第三種方法。雙擊“控制面板→管理工具”中的“本地安全策略”來(lái)啟動(dòng)IP安全策略。

4 IP安全策略應(yīng)用設(shè)置

在該計(jì)算機(jī)實(shí)訓(xùn)機(jī)房中，共有計(jì)算機(jī)63臺(tái)，其中教師機(jī)的IP地址為10.0.86.9，學(xué)生機(jī)按相鄰IP地址2臺(tái)分為1組，共31組，組內(nèi)學(xué)生機(jī)可通過(guò)網(wǎng)絡(luò)共享互相訪問(wèn)，以便在實(shí)訓(xùn)和考試時(shí)配合完成作業(yè)，組與組之間的學(xué)生機(jī)不能通過(guò)網(wǎng)絡(luò)共享互相訪問(wèn)，所有學(xué)生機(jī)與教師機(jī)可通過(guò)網(wǎng)絡(luò)共享互相訪問(wèn)。下面以某組學(xué)生機(jī)A（IP地址：10.0.86.24，計(jì)算機(jī)名：114-20160307O24）和學(xué)生機(jī)B（IP地址：10.0.86.25，計(jì)算機(jī)名：114-20160307O25）為例，說(shuō)明IP安全策略設(shè)置過(guò)程。

在學(xué)生機(jī)A上打開(kāi)“本地組策略編輯器”對(duì)話框，選中“IP安全策略”，右擊菜單中選擇“創(chuàng)建IP安全策略”。在IP安全策略向?qū)?duì)話框設(shè)置名稱為“網(wǎng)絡(luò)共享”，然后單擊[下一步]按鈕。

在“安全通訊請(qǐng)求”設(shè)置中單擊[下一步]按鈕，再單擊[完成]按鈕，出現(xiàn)“網(wǎng)絡(luò)共享 屬性”對(duì)話框，去掉使用“添加向?qū)А?，單擊[添加]按鈕。

在出現(xiàn)的“新規(guī)則 屬性”對(duì)話框中再次點(diǎn)擊[添加]按鈕，出現(xiàn)“IP篩選器列表”對(duì)話框，設(shè)置名稱為“阻止所有IP訪問(wèn)”，去掉使用“添加向?qū)А?，單擊[添加]按鈕，在出現(xiàn)的“IP篩選器 屬性”對(duì)話框中，將“地址”選項(xiàng)卡中源地址設(shè)置為“任何IP地址”，目標(biāo)地址設(shè)置為“我的IP地址”，勾選“鏡像”?！皡f(xié)議”選項(xiàng)卡中選擇協(xié)議類型設(shè)置為“任何”，單擊[確定]按鈕，出現(xiàn)“IP篩選器列表”對(duì)話框。

單擊對(duì)話框中[確定]按鈕，選擇“新規(guī)則 屬性”對(duì)話框中“篩選器操作”選項(xiàng)卡，單擊[添加]按鈕，出現(xiàn)“新篩選器操作 屬性”對(duì)話框，選擇“安全方法”選項(xiàng)卡中“阻止”選項(xiàng)。單擊[確定]按鈕，完成創(chuàng)建名稱為“新篩選器操作”的篩選器操作。在出現(xiàn)的“新規(guī)則 屬性”對(duì)話框中選擇“篩選器操作”中的“新篩選器操作”，“IP篩選器列表”中的“阻止所有IP訪問(wèn)”，單擊[關(guān)閉]按鈕則完成新規(guī)則的創(chuàng)建。

在“網(wǎng)絡(luò)共享 屬性”對(duì)話框中單擊[添加]按鈕，在出現(xiàn)的“新規(guī)則 屬性”對(duì)話框中再次點(diǎn)擊[添加]按鈕，創(chuàng)建名稱為“允許10.0.86.25訪問(wèn)”的IP篩選器，去掉使用“添加向?qū)А?，設(shè)置源地址為“一個(gè)特定的IP地址或子網(wǎng)”，設(shè)置IP地址或子網(wǎng)為“10.0.86.25”，目標(biāo)地址為“我的IP地址”，勾選“鏡像”，協(xié)議設(shè)置為“任何”，單擊[確定]按鈕，在出現(xiàn)的“IP篩選器列表”對(duì)話框中單擊[確定]按鈕，完成創(chuàng)建名稱為“允許10.0.86.25訪問(wèn)”的IP篩選器。并選中“新規(guī)則 屬性”對(duì)話框中IP篩選器列表中的“允許10.0.86.25訪問(wèn)”。

選擇“篩選器操作”選項(xiàng)卡，單擊[添加]按鈕，在出現(xiàn)的“新篩選器操作（1）屬性”對(duì)話框中設(shè)置安全方法為“許可”，常規(guī)為“允許10.0.86.25”訪問(wèn)。單擊[確定]按鈕 ，完成創(chuàng)建名稱為“允許10.0.86.25訪問(wèn)”的篩選器操作。

選擇“篩選器操作”中“允許10.0.86.25訪問(wèn)”，單擊[關(guān)閉]按鈕返回“網(wǎng)絡(luò)共享 屬性”對(duì)話框，完成新規(guī)則的創(chuàng)建。

在“網(wǎng)絡(luò)共享 屬性”對(duì)話框中單擊[添加]按鈕，在出現(xiàn)的“新規(guī)則 屬性”對(duì)話框中創(chuàng)建名稱為“允許10.0.86.9訪問(wèn)”的IP篩選器和名稱為“允許10.0.86.9訪問(wèn)”的篩選器操作，創(chuàng)建和設(shè)置步驟與創(chuàng)建和設(shè)置名稱為“允許10.0.86.25訪問(wèn)”的IP篩選器和名稱為“允許10.0.86.25訪問(wèn)”的相同。創(chuàng)建完成后在“網(wǎng)絡(luò)共享 屬性”對(duì)話框的“IP安全規(guī)則”中會(huì)勾選以上3條IP篩選器列表。如圖 1所示。最后要在“IP安全策略中”選中新創(chuàng)建的策略“網(wǎng)絡(luò)共享”，在右擊出現(xiàn)的菜單中選擇“分配”，使該策略生效。如圖 2所示。

在學(xué)生機(jī)B上創(chuàng)建IP安全策略的操作步驟與學(xué)生A上的操作步驟相同，只是在IP篩選器中要允許學(xué)生機(jī)A的IP地址10.0.86.24訪問(wèn)，使該組內(nèi)的2臺(tái)計(jì)算機(jī)能互相訪問(wèn)網(wǎng)絡(luò)共享，完成后分配該策略。

以上設(shè)置完成后，在學(xué)生機(jī)114-20160302GWC訪問(wèn)學(xué)生機(jī)A，出現(xiàn)網(wǎng)絡(luò)錯(cuò)誤提示“Windows無(wú)法訪問(wèn)＼＼114-20160307O24”。由于學(xué)生機(jī)A中的IP策略已啟用，IP策略中默認(rèn)阻止所有計(jì)算機(jī)訪問(wèn)，由于未設(shè)置允許學(xué)生機(jī)114-20160302GWC訪問(wèn)的IP篩選器和篩選器操作，故出現(xiàn)該錯(cuò)誤。由于在IP篩選器中允許學(xué)生機(jī)B訪問(wèn)學(xué)生機(jī)A，在學(xué)生機(jī)B上打開(kāi)網(wǎng)絡(luò)共享，能正常訪問(wèn)學(xué)生機(jī)A。

5 結(jié)語(yǔ)

綜上所述，IP安全策略在防護(hù)計(jì)算機(jī)安全中起著重要作用。通過(guò)IP安全策略，實(shí)現(xiàn)了該計(jì)算機(jī)實(shí)訓(xùn)機(jī)房的有效管理。IP安全策略還有更強(qiáng)大的功能，例如：可以對(duì)限制計(jì)算機(jī)的某些端口對(duì)外訪問(wèn)。這些功能將在終端安全和網(wǎng)絡(luò)安全中發(fā)揮更大的作用，需要我們進(jìn)一步探索。

參考文獻(xiàn)

[1]楊雅，徐麥.通過(guò)本地IP安全策略加強(qiáng)局域網(wǎng)電腦的安全性[J].信息安全與管理，2015，（16）：135.

[2]唐普霞.通過(guò)IP安全策略關(guān)閉計(jì)算機(jī)端口技巧分析[J].數(shù)字技術(shù)與應(yīng)用，2011，（4）：139.

[3]姜建，何燚.如何設(shè)置本地IP安全策略[J].科技廣場(chǎng)，2006，（1）：104.endprint