首页 > 系统加固 > Win server 2003/08 > IPSEC安全策略之禁用协议(详细总结图文)
2011
11-08

IPSEC安全策略之禁用协议(详细总结图文)

网络安全问题日益严重,不管是在internet,还是在企业内部网络中,这些问题的出现都由于缺乏完善的安全性设计考虑,因为公用网络和内部网络对于未 授权的监示和访问都是十分敏感的。敏感的数据总在不断地穿行在网络上,仅有基于用户名和密码的保护是不能保护网络上传输的数据,所以网络管理员的重要职责 就是确保数据的安全性。
现网络上常见的网络攻击的常见类型有:
窃听
数据修改
标识伪造(IP 地址伪造)
基于密码的攻击
“拒绝服务”攻击
中间人攻击
泄露密钥攻击
探测器攻击
应用程序层攻击
由于应用程序的多样性,网络上各种应用程序、操作系统都不可避免的存在安全漏洞。windows server 2003使用了内置的安全组件支持公共的安全标准来保证数据传输的安全性,就是IPSec.
关于IPSec的相关概念,我们从:http://www.microsoft.com/china/t … ipsec/ipsecapa.mspx 这里了解。
我们关注的是IPSec能做什么?
我们从这几方面去讨论:
1.禁用协议。
2.关闭端口
3.加密数据
4.身份验证

一.验证禁用协议
环境:2台工作组的机器,可以是2000,xp 2003.
拓朴:

IPSEC安全策略之禁用协议(详细总结图文) - 第1张  | 阿德马Web安全基于ICMP的功击非常多,像现时很多国内大形的站点都不允许使用ping了。
我们用IPSec技术看如何禁用ICMP(ping 基于ICMP协议)?
当前环境:

IPSEC安全策略之禁用协议(详细总结图文) - 第2张  | 阿德马Web安全

IPSEC安全策略之禁用协议(详细总结图文) - 第3张  | 阿德马Web安全

通过运行,打开MMC管理控制台,添加管理单元,选择添加IP安全策略管理。

IPSEC安全策略之禁用协议(详细总结图文) - 第4张  | 阿德马Web安全

管理本地IPSec。这时会发现3条内置的IPSec策略。
我通过新建策略来实施,方便我们学习。
注意:任何时刻只能有一条策略在使用,而一条策略可包所多个IP筛选器规则。
1.下面建立一策略。
要做的就是让lab2不能ping通lab1.

IPSEC安全策略之禁用协议(详细总结图文) - 第5张  | 阿德马Web安全

欢迎向导,下一步,策略名称。

IPSEC安全策略之禁用协议(详细总结图文) - 第6张  | 阿德马Web安全

不激活默认响应规则。IPSEC安全策略之禁用协议(详细总结图文) - 第7张  | 阿德马Web安全

完成向导,策略建立完毕,编辑策略。
一条策略可包含多条IP筛选规则。

IPSEC安全策略之禁用协议(详细总结图文) - 第8张  | 阿德马Web安全

2.建立IP筛选规则,去掉使用添加向导,添加IP筛选器。

IPSEC安全策略之禁用协议(详细总结图文) - 第9张  | 阿德马Web安全

A.我不使用原有的筛选器列表,新建一个IP筛选器规则。

IPSEC安全策略之禁用协议(详细总结图文) - 第10张  | 阿德马Web安全

设置IP筛选器列表,地址,协议。
因我是不允许别人ping我,所以设置如下:
打上镜像钩的作用是,也不允许我ping别人(下面再验证)。

IPSEC安全策略之禁用协议(详细总结图文) - 第11张  | 阿德马Web安全

IPSEC安全策略之禁用协议(详细总结图文) - 第12张  | 阿德马Web安全

B.确定之后,IP筛选器设置完毕,接下来设置针对这个筛选器的操作。

IPSEC安全策略之禁用协议(详细总结图文) - 第13张  | 阿德马Web安全

见到3个内置的操作,我使用我新建的,去掉向导。

IPSEC安全策略之禁用协议(详细总结图文) - 第14张  | 阿德马Web安全

建立筛选器操作。

IPSEC安全策略之禁用协议(详细总结图文) - 第15张  | 阿德马Web安全

IPSEC安全策略之禁用协议(详细总结图文) - 第16张  | 阿德马Web安全

选择建立好的筛选器操作。IPSEC安全策略之禁用协议(详细总结图文) - 第17张  | 阿德马Web安全

C.因使用了阻止,没有协商,就没有身份验证,不指定隧道,连接类型选择所有网络

IPSEC安全策略之禁用协议(详细总结图文) - 第18张  | 阿德马Web安全

IPSEC安全策略之禁用协议(详细总结图文) - 第19张  | 阿德马Web安全

IPSEC安全策略之禁用协议(详细总结图文) - 第20张  | 阿德马Web安全

确定后,一条规则设置完毕。
小结:
一条规则包括要设置的地方有如图,有5个,而且每一个设置里面又有添加向导,这是让使用者觉得难的地方。

IPSEC安全策略之禁用协议(详细总结图文) - 第21张  | 阿德马Web安全

3.指派策略。IPSec策略指派后生效非常快,可以立刻见结果。

IPSEC安全策略之禁用协议(详细总结图文) - 第22张  | 阿德马Web安全

IPSEC安全策略之禁用协议(详细总结图文) - 第23张  | 阿德马Web安全

 

还有一点要注意的是,我做的策略是不允许任何人ping我,我能ping别人吗?
因为ping,是发送4个包,结果是别人返回4个包给我的,发送的包能出去,但回不来了,由策略设置不允许回来。所以看看,lab1上ping lab2。

如果在规则中打上镜像的钩,包是不允许出去了。
结果:

IPSEC安全策略之禁用协议(详细总结图文) - 第24张  | 阿德马Web安全

以上实验就是演示IPSEC策略禁止其它电脑ping 服务器,能很好的防范部分黑客软件对服务器的威胁。因为很多黑客扫描软件扫描之前都是先ping服务器看看是不是能PING通,只有能 ping通之后才继续下一步扫描开放哪些端口。我们也可以按照以上的操作禁止部分端口的通信。

最后编辑:
作者:admin
这个作者貌似有点懒,什么都没有留下。

留下一个回复

你的email不会被公开。

此站点使用Akismet来减少垃圾评论。了解我们如何处理您的评论数据