剛剛在我們進行TCP/IP過濾時，還有另外一個選項：IP安全機制（IP Security)，我們過濾ICMP的想法就要著落在它身上。

打開本地安全策略，選擇IP安全策略，在這里我們可以定義自己的IP安全策略。一個IP安全過濾器由兩個部分組成：過濾策略和過濾操作，過濾策略決定哪些報文應當引起過濾器的關注，過濾操作決定過濾器是“允許”還是“拒絕”報文的通過。要新建IP安全過濾器，必須新建自己的過濾策略和過濾操作：右擊本機的IP安全策略，選擇管理IP過濾器，在IP過濾器管理列表中建立一個新的過濾規(guī)則：ICMP_ANY_IN，源地址選任意IP，目標地址選本機，協(xié)議類型是ICMP，切換到管理過濾器操作，增加一個名為Deny的操作，操作類型為"阻止"（Block）。這樣我們就有了一個關注所有進入ICMP報文的過濾策略和丟棄所有報文的過濾操作了。需要注意的是，在地址選項中有一個鏡像選擇，如果選中鏡像，那么將會建立一個對稱的過濾策略，也就是說當你關注any IP->my IP的時候，由于鏡像的作用，實際上你也同時關注了my IP->any IP，你可以根據(jù)自己的需要選擇或者放棄鏡像。再次右擊本機的IP安全策略，選擇新建IP過濾策略，建立一個名稱為ICMP Filter的過濾器，通過增加過濾規(guī)則向導，我們把剛剛定義的ICMP_ANY_IN過濾策略指定給ICMP Filter，然后在操作選框中選擇我們剛剛定義的Deny操作，退出向導窗口，右擊ICMP Filter并啟用它，現(xiàn)在任何地址進入的ICMP報文都會被丟棄了。

雖然用IP sec能夠對ICMP報文進行過濾，不過操作起來太麻煩，而且如果你只需要過濾特定的ICMP報文，還要保留一些常用報文（如主機不可達、網(wǎng)絡不可達等），IP sec策略就力不從心了，我們可以利用Win2000的另一個強大工具路由與遠程訪問控制（Routing & Remote Access）來完成這些復雜的過濾操作。

路由與遠程訪問控制是Win2000用來管理路由表、配置VPN、控制遠程訪問、進行IP報文過濾的工具，默認情況下并沒有安裝，所以首先你需要啟用它，打開"管理工具"->"路由與遠程訪問"，右擊服務器（如果沒有則需要添加本機）選擇"配置并啟用路由及遠程訪問"，這時配置向導會讓你選擇是什么樣的服務器，一般來說，如果你不需要配置VPN服務器，那么選擇"手動配置"就可以了，配置完成后，主機下將出現(xiàn)一個IP路由的選項，在"常規(guī)"中選擇你想配置的網(wǎng)卡（如果你有多塊網(wǎng)卡，你可以選擇關閉某一塊的ICMP），在網(wǎng)卡屬性中點擊"輸入篩選器"，添加一條過濾策略"from:ANY　to:ANY　協(xié)議:ICMP　類型:8 :編碼　丟棄"就可以了（類型8編碼0就是Ping使用的ICMP_ECHO報文，如果要過濾所有的ICMP報文只需要將類型和編碼都設置為255）