剛剛在我們進(jìn)行TCP/IP過(guò)濾時(shí)，還有另外一個(gè)選項(xiàng)：IP安全機(jī)制（IP Security)，我們過(guò)濾ICMP的想法就要著落在它身上。

打開(kāi)本地安全策略，選擇IP安全策略，在這里我們可以定義自己的IP安全策略。一個(gè)IP安全過(guò)濾器由兩個(gè)部分組成：過(guò)濾策略和過(guò)濾操作，過(guò)濾策略決定哪些報(bào)文應(yīng)當(dāng)引起過(guò)濾器的關(guān)注，過(guò)濾操作決定過(guò)濾器是“允許”還是“拒絕”報(bào)文的通過(guò)。要新建IP安全過(guò)濾器，必須新建自己的過(guò)濾策略和過(guò)濾操作：右擊本機(jī)的IP安全策略，選擇管理IP過(guò)濾器，在IP過(guò)濾器管理列表中建立一個(gè)新的過(guò)濾規(guī)則：ICMP_ANY_IN，源地址選任意IP，目標(biāo)地址選本機(jī)，協(xié)議類型是ICMP，切換到管理過(guò)濾器操作，增加一個(gè)名為Deny的操作，操作類型為"阻止"（Block）。這樣我們就有了一個(gè)關(guān)注所有進(jìn)入ICMP報(bào)文的過(guò)濾策略和丟棄所有報(bào)文的過(guò)濾操作了。需要注意的是，在地址選項(xiàng)中有一個(gè)鏡像選擇，如果選中鏡像，那么將會(huì)建立一個(gè)對(duì)稱的過(guò)濾策略，也就是說(shuō)當(dāng)你關(guān)注any IP->my IP的時(shí)候，由于鏡像的作用，實(shí)際上你也同時(shí)關(guān)注了my IP->any IP，你可以根據(jù)自己的需要選擇或者放棄鏡像。再次右擊本機(jī)的IP安全策略，選擇新建IP過(guò)濾策略，建立一個(gè)名稱為ICMP Filter的過(guò)濾器，通過(guò)增加過(guò)濾規(guī)則向?qū)В�我們把剛剛定義的ICMP_ANY_IN過(guò)濾策略指定給ICMP Filter，然后在操作選框中選擇我們剛剛定義的Deny操作，退出向?qū)Т翱冢�右擊ICMP Filter并啟用它，現(xiàn)在任何地址進(jìn)入的ICMP報(bào)文都會(huì)被丟棄了。

雖然用IP sec能夠?qū)�ICMP報(bào)文進(jìn)行過(guò)濾，不過(guò)操作起來(lái)太麻煩，而且如果你只需要過(guò)濾特定的ICMP報(bào)文，還要保留一些常用報(bào)文（如主機(jī)不可達(dá)、網(wǎng)絡(luò)不可達(dá)等），IP sec策略就力不從心了，我們可以利用Win2000的另一個(gè)強(qiáng)大工具路由與遠(yuǎn)程訪問(wèn)控制（Routing & Remote Access）來(lái)完成這些復(fù)雜的過(guò)濾操作。

路由與遠(yuǎn)程訪問(wèn)控制是Win2000用來(lái)管理路由表、配置VPN、控制遠(yuǎn)程訪問(wèn)、進(jìn)行IP報(bào)文過(guò)濾的工具，默認(rèn)情況下并沒(méi)有安裝，所以首先你需要啟用它，打開(kāi)"管理工具"->"路由與遠(yuǎn)程訪問(wèn)"，右擊服務(wù)器（如果沒(méi)有則需要添加本機(jī)）選擇"配置并啟用路由及遠(yuǎn)程訪問(wèn)"，這時(shí)配置向?qū)��?huì)讓你選擇是什么樣的服務(wù)器，一般來(lái)說(shuō)，如果你不需要配置VPN服務(wù)器，那么選擇"手動(dòng)配置"就可以了，配置完成后，主機(jī)下將出現(xiàn)一個(gè)IP路由的選項(xiàng)，在"常規(guī)"中選擇你想配置的網(wǎng)卡（如果你有多塊網(wǎng)卡，你可以選擇關(guān)閉某一塊的ICMP），在網(wǎng)卡屬性中點(diǎn)擊"輸入篩選器"，添加一條過(guò)濾策略"from:ANY　to:ANY　協(xié)議:ICMP　類型:8 :編碼　丟棄"就可以了（類型8編碼0就是Ping使用的ICMP_ECHO報(bào)文，如果要過(guò)濾所有的ICMP報(bào)文只需要將類型和編碼都設(shè)置為255）