IP安全策略在計算機實訓機房管理中的應用

唐磊

摘要：隨著計算機網絡技術的發展，如何保障計算機實訓機房的數據安全成為重中之重，本文討論如何利用IP安全策略來保障機房內計算機之間的數據安全，從而防止其他非法用戶對其數據的訪問。

關鍵詞：IP安全策略；網絡共享；篩選器；協議

中圖分類號：TP393 文獻標識碼：A 文章編號：1007-9416（2017）09-0179-02

1 引言

以我校某計算機實訓機房為例，該實訓機房中計算機之間通過交換相聯組成局域網。其中1臺為教師機，教師機通過極域教室軟件控制學生機進行教學演示，為學生機提供教學和考試素材下載，收取學生機作業。由于網絡共享是互通的，學生機通過網絡共享下載教師機上的教學和考試素材，學生機之間也可通過網絡共享互相傳送文件。在實訓和考試時，某個學生將作業所在的文件夾開通網絡共享，其他學生也可通過網絡共享下載作業，導致實訓和考試時，無法檢測出學生實訓和考試的真實水平，影響教師對課程教學工作的開展。本文通過IP安全策略來解決以上問題，保障計算機實訓機房數據安全。

2 IP安全策略簡介

IP安全策略是一個給予通訊分析的策略，是Windows 2000及以后版本中新增加的一種安全技術。它將通訊內容與設定好的規則進行比較以判斷通訊是否與預期相吻合，然后決定是允許還是拒絕通訊的傳輸，它彌補了傳統TCP/IP設計上的“隨意信任”重大安全漏洞，可以實現更仔細更精確的TCP/IP安全，其功能類似于防火墻中的ACL（Access Control List，訪問控制列表）。當配置好IP安全策略后，就如同在自己電腦上安裝了一個免費，但功能完善的防火墻。

3 IP安全策略的運行

（1）第一種方法。1）使用“WIN+R”快捷鍵，在“運行”對話框窗口的“打開”編輯框中輸入“gpedit.msc”，單擊[確定]按鈕，啟動“本地組策略編輯器”對話框窗口；2）單擊展開“計算機配置→Windows設置→安全設置”，選擇“IP安全策略”。

（2）第二種方法。1）使用“WIN+R”快捷鍵，在“運行”對話框窗口的“打開”編輯框中輸入“secpol.msc”，單擊[確定]按鈕，啟動“本地安全策略”對話框窗口；2）選擇“安全設置”下的“IP安全策略”。

（3）第三種方法。雙擊“控制面板→管理工具”中的“本地安全策略”來啟動IP安全策略。

4 IP安全策略應用設置

在該計算機實訓機房中，共有計算機63臺，其中教師機的IP地址為10.0.86.9，學生機按相鄰IP地址2臺分為1組，共31組，組內學生機可通過網絡共享互相訪問，以便在實訓和考試時配合完成作業，組與組之間的學生機不能通過網絡共享互相訪問，所有學生機與教師機可通過網絡共享互相訪問。下面以某組學生機A（IP地址：10.0.86.24，計算機名：114-20160307O24）和學生機B（IP地址：10.0.86.25，計算機名：114-20160307O25）為例，說明IP安全策略設置過程。

在學生機A上打開“本地組策略編輯器”對話框，選中“IP安全策略”，右擊菜單中選擇“創建IP安全策略”。在IP安全策略向導對話框設置名稱為“網絡共享”，然后單擊[下一步]按鈕。

在“安全通訊請求”設置中單擊[下一步]按鈕，再單擊[完成]按鈕，出現“網絡共享 屬性”對話框，去掉使用“添加向導”，單擊[添加]按鈕。

在出現的“新規則 屬性”對話框中再次點擊[添加]按鈕，出現“IP篩選器列表”對話框，設置名稱為“阻止所有IP訪問”，去掉使用“添加向導”，單擊[添加]按鈕，在出現的“IP篩選器 屬性”對話框中，將“地址”選項卡中源地址設置為“任何IP地址”，目標地址設置為“我的IP地址”，勾選“鏡像”?！皡f議”選項卡中選擇協議類型設置為“任何”，單擊[確定]按鈕，出現“IP篩選器列表”對話框。

單擊對話框中[確定]按鈕，選擇“新規則 屬性”對話框中“篩選器操作”選項卡，單擊[添加]按鈕，出現“新篩選器操作 屬性”對話框，選擇“安全方法”選項卡中“阻止”選項。單擊[確定]按鈕，完成創建名稱為“新篩選器操作”的篩選器操作。在出現的“新規則 屬性”對話框中選擇“篩選器操作”中的“新篩選器操作”，“IP篩選器列表”中的“阻止所有IP訪問”，單擊[關閉]按鈕則完成新規則的創建。

在“網絡共享 屬性”對話框中單擊[添加]按鈕，在出現的“新規則 屬性”對話框中再次點擊[添加]按鈕，創建名稱為“允許10.0.86.25訪問”的IP篩選器，去掉使用“添加向導”，設置源地址為“一個特定的IP地址或子網”，設置IP地址或子網為“10.0.86.25”，目標地址為“我的IP地址”，勾選“鏡像”，協議設置為“任何”，單擊[確定]按鈕，在出現的“IP篩選器列表”對話框中單擊[確定]按鈕，完成創建名稱為“允許10.0.86.25訪問”的IP篩選器。并選中“新規則 屬性”對話框中IP篩選器列表中的“允許10.0.86.25訪問”。

選擇“篩選器操作”選項卡，單擊[添加]按鈕，在出現的“新篩選器操作（1）屬性”對話框中設置安全方法為“許可”，常規為“允許10.0.86.25”訪問。單擊[確定]按鈕 ，完成創建名稱為“允許10.0.86.25訪問”的篩選器操作。

選擇“篩選器操作”中“允許10.0.86.25訪問”，單擊[關閉]按鈕返回“網絡共享 屬性”對話框，完成新規則的創建。

在“網絡共享 屬性”對話框中單擊[添加]按鈕，在出現的“新規則 屬性”對話框中創建名稱為“允許10.0.86.9訪問”的IP篩選器和名稱為“允許10.0.86.9訪問”的篩選器操作，創建和設置步驟與創建和設置名稱為“允許10.0.86.25訪問”的IP篩選器和名稱為“允許10.0.86.25訪問”的相同。創建完成后在“網絡共享 屬性”對話框的“IP安全規則”中會勾選以上3條IP篩選器列表。如圖 1所示。最后要在“IP安全策略中”選中新創建的策略“網絡共享”，在右擊出現的菜單中選擇“分配”，使該策略生效。如圖 2所示。

在學生機B上創建IP安全策略的操作步驟與學生A上的操作步驟相同，只是在IP篩選器中要允許學生機A的IP地址10.0.86.24訪問，使該組內的2臺計算機能互相訪問網絡共享，完成后分配該策略。

以上設置完成后，在學生機114-20160302GWC訪問學生機A，出現網絡錯誤提示“Windows無法訪問＼＼114-20160307O24”。由于學生機A中的IP策略已啟用，IP策略中默認阻止所有計算機訪問，由于未設置允許學生機114-20160302GWC訪問的IP篩選器和篩選器操作，故出現該錯誤。由于在IP篩選器中允許學生機B訪問學生機A，在學生機B上打開網絡共享，能正常訪問學生機A。

5 結語

綜上所述，IP安全策略在防護計算機安全中起著重要作用。通過IP安全策略，實現了該計算機實訓機房的有效管理。IP安全策略還有更強大的功能，例如：可以對限制計算機的某些端口對外訪問。這些功能將在終端安全和網絡安全中發揮更大的作用，需要我們進一步探索。

參考文獻

[1]楊雅，徐麥.通過本地IP安全策略加強局域網電腦的安全性[J].信息安全與管理，2015，（16）：135.

[2]唐普霞.通過IP安全策略關閉計算機端口技巧分析[J].數字技術與應用，2011，（4）：139.

[3]姜建，何燚.如何設置本地IP安全策略[J].科技廣場，2006，（1）：104.endprint