您可以使用 Internet 協議安全 (IPSec) 來保護基于 Windows 2000 的計算機上的網絡通信。IPSec 適用于基于 IPSec 策略的通信。您可以使用 IPSec 策略來確定何時應使用 IPSec 保護計算機之間的通信。還可以使用 IPSec 策略控制允許進出計算機網絡接口的數據包。 IPSec 策略基于兩個元素： • IP 篩選器列表 - 和 - • IP 篩選器操作 Internet 協議 (IP) 篩選器列表是一個協議和文件夾的列表。例如，您可以創建一個允許所有計算機訪問本地接口上的 TCP 端口 80 的篩選器列表項。同一篩選器列表中的另一項可能允許訪問本地接口上的 TCP 端口 25，而第三個篩選器列表項可能允許訪問本地接口上的用戶數據報協議 (UDP) 端口 53。 如果到達計算機接口的數據包在篩選器列表 上有一個相匹配的項，IPSec 策略代理將應用您分配給該篩選器列表的篩選器操作。例如，如果向上述篩選器列表分配一個“阻止”篩選器操作，那么，任何發往 TCP 端口 80、TCP 端口 25 或 UDP 端口 53 的數據包都將被阻止。不過，如果向上述篩選器列表分配一個“允許”篩選器操作，則允許數據包發往 TCP 端口 80、TCP 端口 25 或 UDP 端口 53。 您可以使用 IPSec 篩選器列表和篩選器操作來有效地控制對所有接口的訪問。注意，IPSec 策略將應用于多主計算機上的所有接口。您不能有選擇性地將 IPSec 策略應用于特定接口。 Windows 2000 包括下面兩個默認的 IP 篩選器列表： • 所有 ICMP 通訊 - 和 - • 所有 IP 通訊 有三種默認的篩選器操作： • 允許 - 和 - • 請求安全設置（可選） - 和 - • 需要安全設置 返回頁首 如何創建 IPSec 篩選器列表 要創建應用于入站 TCP 端口 80 和 TCP 端口 25 的 IPSec 篩選器列表，請執行以下操作： 1. 單擊 開始 ，指向 程序 ，指向 管理工具 ，然后單擊 本地安全策略 。 2. 單擊以展開 安全設置 。 3. 右鍵單擊左窗格中的 IP 安全策略 ，然后單擊“管理 IP 篩選器”。 4. 單擊“管理 IP 篩選器列表和篩選器操作”對話框中的 管理 IP 篩選器列表 選項卡，然后單擊 添加 。 5. 在 名稱 框中鍵入 入站 TCP 80 和 25 ，然后在 描述 框中鍵入 允許到 TCP 端口 80 和 25 的入站通信 。 6. 單擊以清除 使用“添加向導” 復選框，然后單擊 添加 以添加一個新的篩選器列表項。 7. 單擊 尋址 選項卡。 8. 在“源地址”框中單擊 任何 IP 地址 。 9. 在“目標地址”框中單擊 我的 IP 地址 。此配置指明該篩選器將應用于入站數據包。 10. 單擊以清除 鏡像 復選框。 11. 單擊 協議 選項卡。 12. 在“選擇協議類型”框中單擊 TCP 。 13. 單擊“從任意端口”，然后單擊“到此端口”。 14. 在“到此端口”框中鍵入 80 。 15. 單擊 應用 ，然后單擊 確定 。 16. 在 IP 篩選器列表 對話框中單擊 添加 。 17. 單擊 尋址 選項卡。 18. 在“源地址”框中單擊 任何 IP 地址 。 19. 在“目標地址”框中單擊 我的 IP 地址 。此配置指明該篩選器將應用于入站數據包。 20. 單擊以選中 鏡像 復選框。執行此操作后，將創建一個具有相反的源和目標 IP 地址的篩選器。 21. 單擊 協議 選項卡。 22. 在“選擇協議類型”框中單擊 TCP 。 23. 單擊“從任意端口”，然后單擊“到此端口”。 24. 在“到此端口”框中鍵入 25 。 25. 單擊 應用 ，然后單擊 確定 。 26. 在 IP 篩選器列表 對話框中單擊 關閉 。 返回頁首 如何創建基于篩選器列表的 IPSec 策略 要創建基于篩選器列表的 IPSec 策略，請執行以下操作： 1. 右鍵單擊左窗格中的 IP 安全策略 ，然后單擊 創建 IP 安全策略 。 2. 在“歡迎使用 IP 安全策略向導”中單擊 下一步 。 3. 在 IP 安全策略名稱 對話框的 名稱 框中，鍵入 允許入站 TCP 80 和 25 ，然后單擊 下一步 。 4. 單擊以清除“激活默認響應規則”復選框，然后單擊 下一步 。 5. 在 正在完成 IP 安全策略向導 對話框中，單擊以選中“編輯屬性”復選框（如果尚未選中），然后單擊 完成 。 6. 單擊 規則 選項卡。 7. 單擊以清除 使用“添加向導” 復選框，然后單擊 添加 。 8. 單擊 IP 篩選器列表 選項卡。 9. 單擊“入站 TCP 80 和 25 IP 篩選器列表”左邊的 選項 。 10. 單擊 篩選器操作 選項卡。 11. 單擊 允許 左邊的 選項 。 12. 單擊 應用 ，然后單擊 確定 。 13. “入站 TCP 80 和 25 篩選器列表”復選框被選中。單擊 關閉 。 IPSec 策略檢查發往本地接口上的 TCP 端口 80 和 TCP 端口 25 的數據包，然后將這些數據包與允許數據包通過此接口的“允許”篩選器操作相匹配。 注意 ：如果分配此策略，將允許所有通信，因為沒有阻止其他通信的“拒絕”規則。如果希望僅允許上述策略中指定的通信，則必須創建拒絕所有通信的“拒絕”規則。