有的时候需要使用Windows2000或2003中的策略封掉某个IP或IP段,具体操作步骤如下:
1) 在运行中使用 secpol.msc 打开“本地安全策略”,然后选择“IP安全策略,在本地机器”选项;
2) 如果右边已经有自己的IP安全策略则直接打开已经存在的IP安全策略,否则点击右键选择“创建IP安全策略”命令根据向导进行创建,整个向导中只有在第二步中取一个新的名称,其余均为默认;
3) 双击某个IP安全策略,然后点击“添加”按钮,一路默认或点“是”一直到选择“IP筛选器列表”标签页的时候,选择“添加”按钮来创建一个“IP 筛选器列表”;
4) 打开“IP 筛选器列表”对话框,首先取一个名称,比如封掉211.21.26.36,然后点击右边的“添加”按钮进入“IP筛选器向导”;
5) IP筛选器向导中第二步“IP通信源”源地址选择“一个特定的IP地址”,然后在下面输入需要封掉的IP地址,比如211.21.26.36;如果这里向封掉整个IP段的话可以选择“一个特定的IP子网”,然后输入211.21.26.0,子网掩码输入255.255.255.0;
6) IP筛选器向导中第三步“IP通信目标”目标地址选择“我的IP地址”;后面的协议类型选择“任意”,最后单击“完成”。这样就创建了一个新的名为“封掉211.21.26.36”的IP 筛选器列表。
7) 关闭“IP筛选器列表”对话框,然后在“IP筛选器列表”中选择刚才创建的“封掉211.21.26.36”,然后点击“下一步”选择“拒绝”,然后点击完成即可。
8) 最后选中IP安全策略,然后右键选择指派可以指派刚才创建的策略。
通过上述步骤就可以通过策略实现封掉某个IP地址的目的,使用“secedit /refreshpolicy machine_policy”命令可立即刷新组策略。
参考资料:
IP安全策略防ping及封闭端口和封IP段