|
配置 TCP/IP 安全 单击开始指向设置单击控制面板然后双击网络和拨号连接 右键单击要在其上配置入站访问控制的接口然后单击属性 在选定的组件被这个连接所使用框中单击 Internet 协议 (TCP/IP)然后单击属性 在 Internet 协议 (TCP/IP) 属性对话框中单击高级 单击选项选项卡 单击 TCP/IP 筛选然后单击属性 选中启用 TCP/IP 筛选(所有适配器)复选框选中此复选框后将对所有适配器启用筛选但您要逐个为适配器配置筛选器同一筛选器并不适用于所有适配器 该窗口中一共有三列分别标记为: TCP 端口 UDP 端口 IP 协议在每一列中都必须选择下面的某个选项: 全部允许如果要允许 TCP 或 UDP 通信的所有数据包请保留全部允许处于选中状态 仅允许如果只允许选定的 TCP 或 UDP 通信请单击仅允许再单击添加然后在添加筛选器对话框中键入相应的端口 如果要阻止所有 UDP 或 TCP 流量请单击仅允许但不要在 UDP 端口或 TCP 端口列中添加任何端口号如果您为 IP 协议选中了仅允许并排除了 IP 协议 和 并不能阻止 UDP 或 TCP 通信 请注意即使在 IP 协议列中选择了仅允许而且不添加 IP 协议 也无法阻止 ICMP 消息 TCP/IP 筛选只能筛选入站流量此功能不影响出站流量也不影响为接受来自出站请求的响应而创建的响应端口如果需要更好地控制出站访问请使用 IPSec 策略或数据包筛选 以下是关于IPSec 策略的官方说明 Internet 协议安全 (IPSec) 循序渐进指南 在进行IPSec完整性配置时有两个选项 :Message Digest (MD)和安全散列算法(Secure Hash Algorithm 简称SHA)后者的安全度更高但需要更多的 CPU资源MD使用位散列算法而SHA使用的位算法 IPSec 认证协议 当两个系统互相交换加密数据之前需要相互对加密的数据包进行安全认定这个安全认定成为安全协定(security association简称SA)在相互通信之前两个系统必须认定对同一SA 因特网密钥交换协议(Internet Key Exchange简称IKE)管理着用于IPSec连接的 SA协议过程IKE是因特网工程任务组(Internet Engineering Task Force简称IETF)制定的关于安全协议和密钥交换的标准方法IKE的操作分两阶段:第一阶段确保通信信道的安全第二阶段约定SA的操作 为了建立IPSec通信两台主机在SA协定之前必须互相认证有三种认证方法: Kerberos Kerberos v常用于Windows Server 是其缺省认证方式 Kerberos能在域内进行安全协议认证使用时它既对用户的身份也对网络服务进行验证Kerberos的优点是可以在用户和服务器之间相互认证也具有互操作性Kerberos可以在 Server 的域和使用Kerberos 认证的UNix环境系统之间提供认证服务 公钥证书 (PKI) PKI用来对非受信域的成员非Windows客户或者没有运行Kerberos v 认证协议的计算机进行认证认证证书由一个作为证书机关(CA)系统签署 预先共享密钥 在预先共享密钥认证中计算机系统必须认同在IPSec策略中使用的一个共享密钥 使用预先共享密钥仅当证书和Kerberos无法配置的场合 IPSec加密协议 IPSec提供三种主要加密方法如下 数据加密标准 (DES 位) 该加密方法性能最好但安全性较低该 位数据加密标准(Data Encryption Standard简称DES)通常被称为 安全套接字层(Secure Sockets Layer简称SSL)适用于数据安全性要求较低的场合 数据加密标准 (DES 位) 通过IPSec策略可以使用位 DES的加密方法年美国国家标准局公布了DES算法它可以在通信过程中经常生成密钥该功能可防止因为一个DES密钥被破译而整个数据集的安全受到影响但是在商业中被认为过时了仅用于传统的应用支持有专门的硬件可以破译标准的 位密钥 DES IPSec策略可以选择一个强大的加密算法DES其安全性比DES更高DES也使用了位密钥但使用了三个结果DES成为 位加密算法用于诸如美国政府这样的高机密的环境中采用该策略的所有计算机将都遵守这样的机制 IPSec传输模式 IPSec可以在两种不同的模式下运作:传输模式和隧道模式这些模式指的是数据在网络中是如何发送和加密的在传输模式下IPSec的保护贯穿全程:从源头到目的地被称为提供终端到终端的传输安全性 隧道模式仅仅在隧道点或者网关之间加密数据隧道模式提供了网关到网关的传输安全性当数据在客户和服务器之间传输时仅当数据到达网关时才得到加密其余路径不受保护一旦到达网关就采用IPSec进行加密等到达目的网关之后数据包被解密和验证之后数据发送到不受保护的目的主机隧道模式通常适用于数据必须离开安全的LAN或者WAN的范围且在诸如互联网这样的公共网络中传输的场合 我看了几个朋友的服务器配置每一个人都使用的是TCP/IP筛选对网站的访问端口进行设定这到没什么关系但对IPSec 策略最多也只设定封一下ICMP别的都没设定出于安全考虑这样做不是很好因为 我来做个比较 TCP/IP筛选只可只设定客户端通过几个固定的TCP或UDP端口进行对服务器的访问或限定IP访问每增加一次就要重启服务器一次只能适合比较小型访问原来我为了让Serv_u能进行正常访问加了N个端口累的要死(因为FTP软件连接到FTP服务器的话会随机使用一些端口因为设定问题就看不到目录了)现在想起来也好笑 IPSec 策略可设定即时生效不用重启服务器可对端口或IP进行封锁或访问可拒绝一些不安全端口的访问也可像TCP/IP筛选一样只设定客户端通过几个固定的TCP或UDP端口进行对服务器的访问可选择性要大很多其中的许可比拒绝优先这样就可以设定优先通过某一些特定的IP也可设定某个IP只能访问某个端口之类的只要你有想像力哈哈就很简单了这里我写的都是一些知识没有写操作步骤因为操作很简单只要说一下原理懂原理比操作更快 如安全方面的话TCP/IP筛选会在注册表中的 HKEY_LOCAL_MACHINE\SYSTEM\ControlSet\Services\Tcpip\Parameters HKEY_LOCAL_MACHINE\SYSTEM\ControlSet\Services\Tcpip\Parameters HKEY_LOCAL_MACHINE\SYSTEM\ControlSet\Services\Tcpip\Parameters 中的EnableSecurityFilters值上设定当为EnableSecurityFilters=dword:即TCP/IP筛选生效当为EnableSecurityFilters=dword:即TCP/IP筛选失效这样就给我们一个漏洞了用regedit e导出以上三个键值把EnableSecurityFilters值改成dword:regedit s嘻嘻你设的再多也等于零 IPSec 策略就没有这个安全隐患上面还有IPSec 策略的一些加密说明安全吧??!!而且IP策略可以备份为文件方便在不同的电脑上使用不过K和XP或K使用的不同这点到是要注意一下 我给出两个IPSec的策略 windows安全策略包vplus windows安全策略包服务器版 说明一下这些设定只是针对端口或IP进行管理的没什么很高深的东西而且有一些功能是无法进行设定的(如果什么都能设定的话那还需要防火墙做什么)但这是WEB服务器的第一道关口如果不设置好的话后面很容易出问题的我刚给出的只是一个例子破TCP/IP筛选有几种方法这里就不好说明了总结一下TCP/IP筛选只是开胃菜IPSec 策略是红酒防火墙是面包防火墙是主菜(硬件级的)一样也不能少都要做好设定那就这样! |
