IP安全策略的疑惑

      技术 2004-12-10 16:1
IP安全策略的疑惑

windows 2000 和 windows server 2003 服务器一般都会使用IP安全策略。微软吹嘘使用了安全册略之后服务器完全无比,使我听后羡慕不已。现在到我设置IP安全策略的时候了!
公司买了台IBM 8837,预计要在一周内投入使用,这两天在网上狂搜关于服务器安全设置的文章,但普遍都没有提到关于IP安全册略的设置。在网上搜到了两篇,正文如下:
其一:
黑客大多通过端口进行入侵,所以你的服务器只能开放你需要的端口,那么你需要哪些端口呢?以下是常用端口,你可根据需要取舍:

80为Web网站服务;21为FTP服务;25 为E-mail SMTP服务;110为Email POP3服务。

其他还有SQL Server的端口1433等,你可到网上查找相关资料。那些不用的端口一定要关闭!关闭这些端口,我们可以通过Windows 2000的安全策略进行。
借助它的安全策略,完全可以阻止入侵者的攻击。你可以通过“管理工具→本地安全策略”进入,右击“IP安全策略”,选择“创建IP安全策略”,点[下一步]。输入安全策略的名称,点[下一步],一直到完成,你就创建了一个安全策略:

接着你要做的是右击“IP安全策略”,进入管理IP筛选器和筛选器操作,在管理IP筛选器列表中,你可以添加要封锁的端口,这里以关闭ICMP和139端口为例说明。

关闭了ICMP,黑客软件如果没有强制扫描功能就不能扫描到你的机器,也Ping不到你的机器。关闭ICMP的具体操作如下:点[添加],然后在名称中输入“关闭ICMP”,点右边的[添加],再点[下一步]。在源地址中选“任何IP地址”,点[下一步]。在目标地址中选择“我的IP地址”,点[下一步]。在协议中选择“ICMP”,点[下一步]。回到关闭ICMP属性窗口,即关闭了ICMP。

下面我们再设置关闭139,同样在管理IP筛选器列表中点“添加”,名称设置为“关闭139”,点右边的“添加”,点[下一步]。在源地址中选择“任何IP地址”,点[下一步]。在目标地址中选择“我的IP地址”,点[下一步]。在协议中选择“TCP”,点[下一步]。在设置IP协议端口中选择从任意端口到此端口,在此端口中输入139,点[下一步]。即完成关闭139端口,其他的端口也同样设置.


然后进入设置管理筛选器操作,点“添加”,点[下一步],在名称中输入“拒绝”,点[下一步]。选择“阻止”,点[下一步]。


然后关闭该属性页,右击新建的IP安全策略“安全”,打开属性页。在规则中选择“添加”,点[下一步]。选择“此规则不指定隧道”,点[下一步]。在选择网络类型中选择“所有网络连接”,点[下一步]。在IP筛选器列表中选择“关闭ICMP”,点[下一步]。在筛选器操作中选择“拒绝”,点[下一步]。这样你就将“关闭ICMP”的筛选器加入到名为“安全”的IP安全策略中。同样的方法,你可以将“关闭139”等其他筛选器加入进来。

最后要做的是指派该策略,只有指派后,它才起作用。方法是右击“安全”,在菜单中选择“所有任务”,选择“指派”。IP安全设置到此结束,你可根据自己的情况,设置相应的策略。
其二:
网络的安全性已经成为大家关注的焦点。由于在IP协议设计之初并没过多考虑安全问题,因此早期的网络中经常发生遭受攻击或机密数据被窃取等问题。为了增强网络的安全性,IP安全(IPSec)协议应运而生。Windows 2000/XP/2003操作系统也提供了对IPSec协议的支持,这就是我们平常所说的“IPSec安全策略”功能,虽然它提供的功能不是很完善,但只要你合理定制,一样能很有效地增强网络安全。

  如何启用本地IPSec安全策略

  笔者以Windows2003系统为例,启用IPSec安全策略功能非常简单,介绍如下两种方法:

  方法一:利用MMC控制台

  第一步:点击“开始→运行”,在运行对话框中输入“MMC”,点击“确定”按钮后,启动“控制台”窗口。

  第二步:点击“控制台”菜单中的“文件→添加/删除管理单元”选项,弹出“添加/删除管理单元”对话框(如图1),点击“独立”标签页的“添加”按钮,弹出“添加独立管理单元”对话框。

  第三步:在列表框中选择“IP安全策略管理”(如图2),点击“添加”按钮,在“选择计算机”对话框中,选择“本地计算机”,最后点击“完成”。这样就在“MMC控制台”启用了IPSec安全策略。

  方法二:利用本地安全策略

  进入“控制面板→管理工具”选项,运行“本地安全设置”选项,在“本地安全设置”窗口中展开“安全设置”选项,就可以找到“IP安全策略,在本地计算机”。

  IPSec安全策略的组成

  为了增强网络通信安全或对客户机器的管理,网络管理员可以通过在Windows系统中定义IPSec安全策略来实现。一个IPSec安全策略由IP筛选器和筛选器操作两部分构成,其中IP筛选器决定哪些报文应当引起IPSec安全策略的关注,筛选器操作是指“允许”还是“拒绝”报文的通过。要新建一个IPSec安全策略,一般需要新建IP筛选器和筛选器操作。

  IPSec安全策略应用实例

  目的:阻止局域网中IP为“192.168.0.2”的机器访问Windows2003终端服务器。

  很多服务器都开通了终端服务,除了使用用户权限控制访问外,还可以创建IPSec安全策略进行限制。

  第一步:在Windows 2003服务器的IP安全策略主窗口中,右键点击“IP安全策略,在本地计算机”,选择“创建IP安全策略”选项,进入“IP安全策略向导”,点击“下一步”,在“IP安全策略”名称对话框中输入该策略的名字(如图3),如“终端服务过滤”,点击“下一步”,下面弹出的对话框都选择默认值,最后点击“完成”按钮。

  第二步:为该策略创建一个筛选器。右键点击“IP安全策略,在本地计算机”,在菜单中选择“管理IP筛选器表和筛选器操作”,切换到“管理IP筛选器列表”标签页(如图4),点击下方的“添加”,弹出的“IP筛选器列表”对话框,在“名称”输入框中输入“终端服务”,点击“添加”,进入“IP筛选器向导”窗口,点击“下一步”,在“源地址”下拉列表框中选择“一个特定IP地址”,然后输入该客户机的IP地址和子网掩码,如“192.168.0.2”。点击“下一步”后,在“目标地址”下拉列表框中选择“我的IP地址”,点击“下一步”,接着在“选择协议类型”中选择“TCP”协议(如图5),点击“下一步”,接着在协议端口中选择“从任意端口,到此端口”,在输入框中填入“3389”,点击“下一步”后完成筛选器的创建(如图6)。

  第三步:新建一个阻止操作。切换到“筛选器操作”标签页,点击“添加”按钮,进入到“IP安全筛选器操作向导”,点击“下一步”,给这个操作起一个名字,如“阻止”,点击“下一步”,接着设置“筛选器操作的行为”,选择“阻止”单选项(如图7),点击“下一步”,就完成了“IP安全筛选器操作”的添加工作。

  最后在IP安全策略主窗口中,双击第一步建立的“终端服务过滤”安全策略,点击“添加”按钮,进入“创建IP安全规则向导”,点击“下一步”,选择“此规则不指定隧道”,点击“下一步”,在网络类型对话框中选择“局域网”,点击“下一步”,在接下来对话框中选择默认值,点击“下一步”,在IP筛选器列表中选择“终端服务”选项,点击“下一步”,接着在筛选器操作列表中选择“阻止”,最后点击“完成”。

  完成了创建IPSec安全策略后,还要进行指派,右键单击“终端服务过滤”,在弹出的菜单中选择“指派”,这样就启用了该IPSec安全策略。局域网中IP为“192.168.0.2”的机器就不能访问Windows 2003终端服务器了。

  补充:Windows系统的IPSec安全策略也存在不足,一台机器同时只能有一个策略被指派。

通过这两篇文章,大概弄懂了什么叫IP安全策略了。但是我的要求多一点,想设置服务器具有如下功能:远程桌面/远程web管理/流媒体服务器/web服务器/ftp服务器/email服务器。一时之前还没有想出具体应该怎么设置。尝试使用系统自带的“安全服务器”策略,竟然造成服务器的第一次非法关机!!{因为我一直使用远程桌面配置服务器}。
哪位大虾有经验的,帮小弟一下忙吧,把安全策略的设置共享一下。:)

标签集:TAGS:
回复Comments() 点击Count()

回复Comments

{commentauthor}
{commentauthor}
{commenttime}
{commentnum}
{commentcontent}
作者:
{commentrecontent}