剔除危险信息 用IPsec过滤规则过滤网络

发表于:2007-06-10来源:作者:点击数: 标签:
【原创版权所有,赛迪首发,如欲转载,请注明出处“赛迪网”和文章作者“赵长林”!违者,赛迪网将保留追究其法律责任的权利

【原创版权所有,赛迪首发,如欲转载,请注明出处“赛迪网”和文章作者“赵长林”!违者,赛迪网将保留追究其法律责任的权利!】

IPSec协议是一个应用十分广泛、开放的VPN安全协议,它是十分可行的VPN解决方案。而Windows XP及Vista操作系统内置了软防火墙,通过设置和使用防火墙,用户可以控制计算机与互联网之间的通信。用户也可以通过使用IPsec过滤规则对用于输入、输出网络通信的特定协议和端口组合进行过滤,来控制进、出计算机的数据通信。一般来说,IPsec常被用于确保远程访问的安全,但用户也可以将它用于防御窃听和恶意修改数据,保证内部网络通信安全。

IPsec过滤规则是通过使用组策略并通过创建和分配一个IPsec策略来实施的,这就允许在域、站点或组织单元层次上来对IPsec进行配置。第一步就是创建和定义过滤规则和操作,如此一来就控制了有哪些协议、端口和IP地址等是被允许或阻止的。这些规则以实现安全操作的策略为基础,并与客户端保持一致。要想使用IP安全策略来管理域成员的IPsec策略,用户必须选择管理此计算机所属的活动目录域(The Active Directory Domain)。用户可以在管理控制台(MMC)右侧窗格中的IP安全策略上右击,并选择管理IP过滤器列表和过滤器动作,来增加、编辑和移除过滤器。下一步就是通过将多种IP过滤器和过滤器动作添加到新策略中来创建一个IPsec策略。如果要将IP安全策略指派到组策略,选择一个组策略对象,也就是你想要指派IP安全策略对象。下一步,展开计算机配置视图,单击“IP安全策略”文件夹,在你想要指派的策略上右击,单击“指派”。

Ipsec规则可以包含几个不同过滤规则和活动,这使它非常灵活。它能控制访问不同的域和计算机,还能用于阻止访问某些站点或应用程序,如聊天室站点。IPsec协议还可以用于数据的保密、完整性、真实性,但它并不能保证全部网络通信的安全。具体信息,请参考:Microsoft Knowledge Base article 253169。

注意!在使用IPsec策略时,你需要对阻止特定端口所造成的影响有一个清晰的理解。例如,阻止端口135防止DCOM RPC漏洞就会影响活动目录和Exchange的功能,因为它们也使用135端口。因此,重要的是需要测试过滤确保你已经完成了预定的目标。Windows XP 的Service Pack 2 包含了一个命令行工具ipsecmd.exe,可以用于管理IPsec策略和过滤规则,不过使用起来并不太直观。可喜的是,Vista已集成了防火墙过滤功能和IPsec保护设置。这些都可以使用Windows 高级安全防火墙来管理。这也就意味着你不太可能设置与IPsec策略相冲突的防火墙过滤器。

Windows 2000/XP/2003操作系统提供了对IPSec协议的支持,虽然它提供的功能不是十分完善,但只要你进行合理定制,一样能非常有效地增强网络安全

(T003)


原文转自:http://www.ltesting.net