***常用的***手:网络监听 数据篡改 欺骗 中间人*** 密码破解 绶冲区溢出  
IPSEC策略:IPsec使用策略和规则提升网络安全性    规则包含:筛选器  筛选器动作  身份验证方法
默认策略:client  server  Secure Server
  IPSEC能做什么?   加密数据   关闭端口  禁用协议  身份验证
win2003.bmp223
我已经准备二台windowsxp虚拟机 一台IP地址是192.168.0.6 另一台IP地址是192.168.0.8   我现在到IP地址为192.168.0.8那台虚拟机上  ping 192.168.0.6那台虚拟机     看到了吗? 现在表示可以ping通的   开始的时候bytes=32表示32字节 我再用-l参数ping  -t参数表示不停地ping ping 192.168.0.6 -l 65500    现在bytes(字节)=65500了    当ping超过65500后就出现Bad value for option -l 意思就是说-l参数是一个坏值    valid range is from 0 to 65500  意思就是说合法范围是从0到65500
但是有一些***用一些软件了做成2个包   每个包都比65500小  二个包加起来就比65500大了    然后把这二个包发到对方的机器上当对方一接收到 就ping成一个包  一旦ping成功对方的机器就变成蓝屏了
win2003.bmp224
  通过开始--运行--输入mmc按确定来打开控制台--文件--添加/删除管理单元--添加--IP安全策略管理--添加
win2003.bmp225
   这里面可以管理本地计算机   本域计算机     另一个域的计算机    也可以管理远程计算机   我就选择管理本地计算机吧  按完成
win2003.bmp226
  这里可以看到系统默认的三条策略 如果你想启用它 就对着它右键--选择指派就启用了  我现在想做一个不让别人ping我的策略  在空白处右键--选择创建IP安全策略
win2003.bmp227
            现在可以看到IP安全策略向导了   接着下一步 
win2003.bmp228
名称就叫做No Ping吧      接着下一步
win2003.bmp229
    在IPsec里面有一条默认的规则 它里面有一些筛选器的   我现在用不着所以就把激活默认响应规则的沟去掉吧 接着下一步
win2003.bmp230
     这里我就把编辑属性的沟去掉了   然后按完成
win2003.bmp231
<动态>没沟证明这条规则没启用  我现在自己来做一条规则 如果你不喜欢向导界面的话 就把使用"添加向导"的沟去掉 按添加--在新规则性属性里面--按添加     
win2003.bmp232
筛选器的名称就叫做Ping吧       同样把使用"添加向导"的沟去掉  按添加   在筛选器属性里面  源地址选择任何IP地址 目标地址选择我的IP地址  按一下协议然后选择ICMP协议 如果把镜像沟上的话 我也Ping不了别人了     按确定
win2003.bmp233
    在新规则属性--选择筛选器操作--添加--在安全措施里面选择阻止   常规名称就输入No吧      按确定
win2003.bmp234
    注意:完成后一定要给刚才新建的规则启用    对着No Ping右键--选择指派就ok了
win2003.bmp235
因为我刚才把镜像沟上了 所以我也ping不了别人    你看我ping 192.168.0.8那台XP就出现 Destination host unreachable这表示ping包根本都不出去
win2003.bmp236
  看到了吗? 我现在到192.168.0.8这台计算机也ping不通192.168.0.6那台计算机
win2003.bmp237
   在命令提示符下输入netstat -na按回车键可以查到所有的端口  第一列指的是TCP UDP协议  第二列指的是IP地址和开放端口
1900那个端口表示别人可以连到我    每台计算机都有65536个端口  标号从0到65535     如何查到开放端口呢?只要在State下面显示为LISTENING就表示是开放端口       开放端口就表示别人可以连接到你这个端口
win2003.bmp238
我现在到192.168.0.8那台计算机     在命令提示符下输入telnet 192.168.0.6 139 来连接到192.168.0.6那台计算机的139端口 按回车键后  如果什么都没有然后有一个光标一直在闪就表示已经连上了
win2003.bmp239
看到了吗? ESTABLISHED表示已经建立连接了    指的是192.168.0.8这台计算机用它的1156端口连接到192.168.0.6那台计算机的139端口      
win2003.bmp240
如果想关端口的话   就打开本地连接--属性--TCP/IP属性--高级--选项--属性--只允许--接着添加你允许的端口  没有添加的端口就表示关闭端口  
win2003241
  我现在来创建IP安全策略来关闭139端口给大家看一下 
win2003.bmp242
这里就不激活默认响应规则了     接着下一步
win2003.bmp243
这一步我编辑属性沟上直接打开编辑属性 按完成
win2003.bmp244
  我刚才输入的名称就叫做close 139  接着按添加--添加名称也叫做139吧--添加--然后到筛选器属性里面--寻址--任何IP地址到我的IP地址    协议选择TCP 从任意端口到139端口
win2003.bmp245
  注意:最后还要对着刚才创建的规则右键选择指派才启用 
win2003.bmp246
    看到了吗? 我现是在192.168.0.8这台计算上   想连接到192.168.0.6那台计算机的139端口  结果没办法连接到