(一)、在虚拟机系统上通过MMC管理控制台使用其“本地安全策略”管理单元,设置“IP安全策略”配置,保存并将自定义IP安全策略文件通过“指派”激活,然后从本机系统进行相关的网络访问验证(验证防火墙规则是否生效,如:是否有效拦截了某种流量的报文):
1、在mmc.exe管理控制台中添加“IP安全策略”管理单元,如图所示:
| 图1 在mmc.exe管理控制台中添加“IP安全策略”管理单元 |
图2 进入配置向导
图3 命名安全策略
图4 取消激活默认响应规则
图5 取消编辑属性
![[外链图片转存失败,源站可能有防盗链机制,建议将图片保存下来直接上传(img-8hIl77mY-1686122814627)(file:///C:\Users\123\AppData\Local\Temp\ksohtml5048\wps6.jpg)](https://img-blog.csdnimg.cn/28ccb050bf4f41bda2ea22224747c792.jpeg)
图6 成功出现雏形
图7 双击策略,弹出窗口IP安全策略属性;去掉“使用添加向导”前面的勾
图8 点击添加
图9 点击上图中的“添加”弹出以下窗口,命名名称为,阻止所有,也就是待会下面所讲的阻止所有的端口及IP访问
图10 点击上图中的“添加”弹出如下窗口:地址都选“任何IP地址”
图11 点击上图中的确定,再回到“新规则属性”下面,之前设置的是“IP筛选器列表”,现在设置“筛选器操作”
图12 添加一个阻止,先做一个阻止所有端口、IP访问进出的操作,然后再逐个放行。先点常规,改个名“阻止”,然后确定。
图13 上图确定好后,再看“安全措施”,选中“阻止”
图14 上图确定后,就可以得到如下窗口了。会发现有“许可”,有“阻止”,这就是想要的,点击阻止;还有就是记得同时也要点上“IP筛选器列表”里的“阻止所有”不然就没有具体的操作对象了。
图15 可以看到一个“阻止所有”的策略了
图16 指派之前能ping通其他主机
![[外链图片转存失败,源站可能有防盗链机制,建议将图片保存下来直接上传(img-EU7diIQZ-1686122814637)(file:///C:\Users\123\AppData\Local\Temp\ksohtml5048\wps18.jpg)](https://img-blog.csdnimg.cn/4d6e0aef6acc45b8952fc9b848b30f65.jpeg)
图17 指派之后无法ping通
图18 设置允许远程登录配置
图19 设置特定ip 登录
图20 设置端口
图21 没有添加前无法通过3389端口登录
图22 添加后成功登录
(二)、*在本机系统上导入在上一步中完成的自定义IP安全策略文件配置,然后从本机系统或虚拟机系统进行相关的防火墙过滤规则的效果验证:*
1、在本机系统上导入在对端系统中的IP安全策略文件,如图所示:
| 图23 导入另一系统的IP安全策略文件 |
图24 未指派之前可以ping通
图25 指派之后无法ping通
参考:https://zhuanlan.zhihu.com/p/347773090