|
以下文章為原創(chuàng)文章,轉(zhuǎn)載時請注明出處和作者名,部分引用地方已經(jīng)注明
如何配置 TCP/IP 安全,以下是以2000為準(zhǔn),XP和2K3同樣,下面一段引用微軟公司原文
配置 TCP/IP 安全:
1. 單擊開始���,指向設(shè)置,單擊控制面板�,然后雙擊網(wǎng)絡(luò)和撥號連接。
2. 右鍵單擊要在其上配置入站訪問控制的接口�,然后單擊屬性。
3. 在選定的組件被這個連接所使用框中���,單擊 Internet 協(xié)議 (TCP/IP)����,然后單擊屬性�。
4. 在 Internet 協(xié)議 (TCP/IP) 屬性對話框中�����,單擊高級����。
5. 單擊選項選項卡��。
6. 單擊 TCP/IP 篩選����,然后單擊屬性。
7. 選中啟用 TCP/IP 篩選(所有適配器)復(fù)選框����。選中此復(fù)選框后���,將對所有適配器啟用篩選�����,但您要逐個為適配器配置篩選器����。同一篩選器并不適用于所有適配器。
8. 該窗口中一共有三列����,分別標(biāo)記為:
TCP 端口
UDP 端口
IP 協(xié)議在每一列中,都必須選擇下面的某個選項:
全部允許���。如果要允許 TCP 或 UDP 通信的所有數(shù)據(jù)包���,請保留全部允許處于選中狀態(tài)。
僅允許�。如果只允許選定的 TCP 或 UDP 通信,請單擊僅允許��,再單擊添加���,然后在添加篩選器對話框中鍵入相應(yīng)的端口����。
如果要阻止所有 UDP 或 TCP 流量��,請單擊僅允許���,但不要在 UDP 端口或 TCP 端口列中添加任何端口號���。如果您為 IP 協(xié)議選中了僅允許并排除了 IP 協(xié)議 6 和 17����,并不能阻止 UDP 或 TCP 通信����。
請注意,即使在 IP 協(xié)議列中選擇了僅允許而且不添加 IP 協(xié)議 1�����,也無法阻止 ICMP 消息���。
“TCP/IP 篩選”只能篩選入站流量���。此功能不影響出站流量,也不影響為接受來自出站請求的響應(yīng)而創(chuàng)建的響應(yīng)端口�。如果需要更好地控制出站訪問,請使用 IPSec 策略或數(shù)據(jù)包篩選��。
以下是關(guān)于IPSec 策略的官方說明
Internet 協(xié)議安全 (IPSec) 循序漸進(jìn)指南
在進(jìn)行IPSec完整性配置時���,有兩個選項 :Message Digest 5 (MD5)和安全散列算法1(Secure Hash Algorithm 1 ��,簡稱SHA1)�。后者的安全度更高�����,但需要更多的 CPU資源����,MD5使用128位散列算法,而SHA1使用的160位算法���。
IPsec 認(rèn)證協(xié)議
當(dāng)兩個系統(tǒng)互相交換加密數(shù)據(jù)之前��,需要相互對加密的數(shù)據(jù)包進(jìn)行安全認(rèn)定����。這個安全認(rèn)定成為安全協(xié)定(security association���,簡稱SA)�����。在相互通信之前�����,兩個系統(tǒng)必須認(rèn)定對同一SA�。
因特網(wǎng)密鑰交換協(xié)議(Internet Key Exchange,簡稱IKE)管理著用于IPSec連接的 SA協(xié)議過程���。IKE是因特網(wǎng)工程任務(wù)組(Internet Engineering Task Force�����,簡稱IETF)制定的關(guān)于安全協(xié)議和密鑰交換的標(biāo)準(zhǔn)方法�����。IKE的操作分兩階段:第一階段確保通信信道的安全��,第二階段約定SA的操作�����。
為了建立IPSec通信�����,兩臺主機(jī)在SA協(xié)定之前必須互相認(rèn)證����,有三種認(rèn)證方法:
Kerberos - Kerberos v5常用于Windows Server 2003����,是其缺省認(rèn)證方式。 Kerberos能在域內(nèi)進(jìn)行安全協(xié)議認(rèn)證�,使用時,它既對用戶的身份也對網(wǎng)絡(luò)服務(wù)進(jìn)行驗證��。Kerberos的優(yōu)點是可以在用戶和服務(wù)器之間相互認(rèn)證���,也具有互操作性����。Kerberos可以在 Server 2003的域和使用Kerberos 認(rèn)證的UNix環(huán)境系統(tǒng)之間提供認(rèn)證服務(wù)�����。
公鑰證書 (PKI) - PKI用來對非受信域的成員�����,非Windows客戶,或者沒有運行Kerberos v5 認(rèn)證協(xié)議的計算機(jī)進(jìn)行認(rèn)證�����,認(rèn)證證書由一個作為證書機(jī)關(guān)(CA)系統(tǒng)簽署�����。
預(yù)先共享密鑰 -在預(yù)先共享密鑰認(rèn)證中�,計算機(jī)系統(tǒng)必須認(rèn)同在IPSec策略中使用的一個共享密鑰 ,使用預(yù)先共享密鑰僅當(dāng)證書和Kerberos無法配置的場合���。
IPSec加密協(xié)議
IPSec提供三種主要加密方法�����,如下
數(shù)據(jù)加密標(biāo)準(zhǔn) (DES 40位) - 該加密方法性能最好���,但安全性較低。該 40位數(shù)據(jù)加密標(biāo)準(zhǔn)(Data Encryption Standard���,簡稱DES)通常被稱為 安全套接字層(Secure Sockets Layer���,簡稱SSL)����。適用于數(shù)據(jù)安全性要求較低的場合�。
數(shù)據(jù)加密標(biāo)準(zhǔn) (DES 56位) - 通過IPSec策略���,可以使用56位 DES的加密方法��。1977年美國國家標(biāo)準(zhǔn)局公布了DES算法��,它可以在通信過程中經(jīng)常生成密鑰�����。該功能可防止因為一個DES密鑰被破譯而整個數(shù)據(jù)集的安全受到影響����。但是在商業(yè)中被認(rèn)為過時了����,僅用于傳統(tǒng)的應(yīng)用支持,有專門的硬件可以破譯標(biāo)準(zhǔn)的 56位密鑰����。
3DES - IPSec策略可以選擇一個強大的加密算法3DES����,其安全性比DES更高�。3DES也使用了56位密鑰,但使用了三個���。結(jié)果3DES成為 168位加密算法���,用于諸如美國政府這樣的高機(jī)密的環(huán)境中。采用該策略的所有計算機(jī)將都遵守這樣的機(jī)制�。
IPSec傳輸模式
IPSec可以在兩種不同的模式下運作:傳輸模式和隧道模式。這些模式指的是數(shù)據(jù)在網(wǎng)絡(luò)中是如何發(fā)送和加密的��。在傳輸模式下����,IPSec的保護(hù)貫穿全程:從源頭到目的地,被稱為提供終端到終端的傳輸安全性 �。
隧道模式僅僅在隧道點或者網(wǎng)關(guān)之間加密數(shù)據(jù)。隧道模式提供了網(wǎng)關(guān)到網(wǎng)關(guān)的傳輸安全性���。當(dāng)數(shù)據(jù)在客戶和服務(wù)器之間傳輸時��,僅當(dāng)數(shù)據(jù)到達(dá)網(wǎng)關(guān)時才得到加密�,其余路徑不受保護(hù)。一旦到達(dá)網(wǎng)關(guān)�����,就采用IPSec進(jìn)行加密���,等到達(dá)目的網(wǎng)關(guān)之后�,數(shù)據(jù)包被解密和驗證����,之后數(shù)據(jù)發(fā)送到不受保護(hù)的目的主機(jī)�����。隧道模式通常適用于數(shù)據(jù)必須離開安全的LAN或者WAN的范圍����,且在諸如互聯(lián)網(wǎng)這樣的公共網(wǎng)絡(luò)中傳輸?shù)膱龊稀?/P>
我看了幾個朋友的服務(wù)器配置,每一個人都使用的是TCP/IP篩選對網(wǎng)站的訪問端口進(jìn)行設(shè)定,這到?jīng)]什么關(guān)系,但對IPSec 策略最多也只設(shè)定封一下ICMP,別的都沒設(shè)定,出于安全考慮,這樣做不是很好,因為...
嘻嘻,我來做個比較
TCP/IP篩選只可只設(shè)定客戶端通過幾個固定的TCP或UDP端口進(jìn)行對服務(wù)器的訪問,或限定IP訪問,每增加一次就要重啟服務(wù)器一次,只能適合比較小型訪問,原來我為了讓Serv_u能進(jìn)行正常訪問,加了N個端口,累的要死(因為FTP軟件連接到FTP服務(wù)器的話,會隨機(jī)使用一些端口,因為設(shè)定問題,就看不到目錄了)...現(xiàn)在想起來也好笑.
IPSec 策略可設(shè)定即時生效,不用重啟服務(wù)器,可對端口或IP進(jìn)行封鎖或訪問,可拒絕一些不安全端口的訪問,也可像TCP/IP篩選一樣只設(shè)定客戶端通過幾個固定的TCP或UDP端口進(jìn)行對服務(wù)器的訪問,可選擇性要大很多,其中的許可比拒絕優(yōu)先,這樣就可以設(shè)定優(yōu)先通過某一些特定的IP,也可設(shè)定某個IP只能訪問某個端口之類的,只要你有想像力,哈哈,就很簡單了,這里我寫的都是一些知識,沒有寫操作步驟,因為操作很簡單,只要說一下原理,懂原理比操作更快
如安全方面的話,TCP/IP篩選會在注冊表中的
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\Tcpip\Parameters
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Services\Tcpip\Parameters
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet003\Services\Tcpip\Parameters
中的EnableSecurityFilters值上設(shè)定,當(dāng)為"EnableSecurityFilters"=dword:00000001,即TCP/IP篩選生效,當(dāng)為"EnableSecurityFilters"=dword:00000000,即TCP/IP篩選失效,這樣就給我們一個漏洞了,用regedit -e導(dǎo)出以上三個鍵值,把EnableSecurityFilters值改成dword:00000000,regedit -s,嘻嘻,你設(shè)的再多也等于零
IPSec 策略就沒有這個安全隱患,上面還有IPSec 策略的一些加密說明,安全吧??!!而且IP策略可以備份為文件方便在不同的電腦上使用,不過2K和XP或2K3使用的不同,這點到是要注意一下
我給出兩個IPSec的策略
windows安全策略包v2.24plus
windows安全策略包服務(wù)器版
說明一下,這些設(shè)定只是針對端口或IP進(jìn)行管理的,沒什么很高深的東西,而且有一些功能是無法進(jìn)行設(shè)定的(如果什么都能設(shè)定的話,那還需要防火墻做什么),但這是WEB服務(wù)器的第一道關(guān)口,如果不設(shè)置好的話,后面很容易出問題的,我剛給出的只是一個例子,破TCP/IP篩選有幾種方法,這里就不好說明了,總結(jié)一下,TCP/IP篩選只是開胃菜,IPSec 策略是紅酒,防火墻是面包,防火墻是主菜(硬件級的),一樣也不能少,都要做好設(shè)定,那就這樣,回頭見啦...
出處:藍(lán)色理想
責(zé)任編輯:藍(lán)色
◎進(jìn)入論壇計算機(jī)技術(shù)版塊參加討論
|
