配置 TCP/IP 安全
單擊開始
指向設置
單擊控制面板
然後雙擊網絡和撥號連接
右鍵單擊要在其上配置入站訪問控制的接口
然後單擊屬性
在選定的組件被這個連接所使用框中
單擊 Internet 協議 (TCP/IP)
然後單擊屬性
在 Internet 協議 (TCP/IP) 屬性對話框中
單擊高級
單擊選項選項卡
單擊 TCP/IP 篩選
然後單擊屬性
選中啟用 TCP/IP 篩選(所有適配器)復選框
選中此復選框後
將對所有適配器啟用篩選
但您要逐個為適配器配置篩選器
同一篩選器並不適用於所有適配器
該窗口中一共有三列
分別標記為:
TCP 端口
UDP 端口
IP 協議在每一列中
都必須選擇下面的某個選項:
全部允許
如果要允許 TCP 或 UDP 通信的所有數據包
請保留全部允許處於選中狀態
僅允許
如果只允許選定的 TCP 或 UDP 通信
請單擊僅允許
再單擊添加
然後在添加篩選器對話框中鍵入相應的端口
如果要阻止所有 UDP 或 TCP 流量
請單擊僅允許
但不要在 UDP 端口或 TCP 端口列中添加任何端口號
如果您為 IP 協議選中了僅允許並排除了 IP 協議
和
並不能阻止 UDP 或 TCP 通信
請注意
即使在 IP 協議列中選擇了僅允許而且不添加 IP 協議
也無法阻止 ICMP 消息
TCP/IP 篩選
只能篩選入站流量
此功能不影響出站流量
也不影響為接受來自出站請求的響應而創建的響應端口
如果需要更好地控制出站訪問
請使用 IPSec 策略或數據包篩選
以下是關於IPSec 策略的官方說明
Internet 協議安全 (IPSec) 循序漸進指南
在進行IPSec完整性配置時
有兩個選項 :Message Digest
(MD
)和安全散列算法
(Secure Hash Algorithm
簡稱SHA
)
後者的安全度更高
但需要更多的 CPU資源
MD
使用
位散列算法
而SHA
使用的
位算法
IPSec 認證協議 當兩個系統互相交換加密數據之前
需要相互對加密的數據包進行安全認定
這個安全認定成為安全協定(security association
簡稱SA)
在相互通信之前
兩個系統必須認定對同一SA
因特網密鑰交換協議(Internet Key Exchange
簡稱IKE)管理著用於IPSec連接的 SA協議過程
IKE是因特網工程任務組(Internet Engineering Task Force
簡稱IETF)制定的關於安全協議和密鑰交換的標准方法
IKE的操作分兩階段:第一階段確保通信信道的安全
第二階段約定SA的操作
為了建立IPSec通信
兩台主機在SA協定之前必須互相認證
有三種認證方法:
Kerberos
Kerberos v
常用於Windows Server
是其缺省認證方式
Kerberos能在域內進行安全協議認證
使用時
它既對用戶的身份也對網絡服務進行驗證
Kerberos的優點是可以在用戶和服務器之間相互認證
也具有互操作性
Kerberos可以在 Server
的域和使用Kerberos 認證的UNix環境系統之間提供認證服務
公鑰證書 (PKI)
PKI用來對非受信域的成員
非Windows客戶
或者沒有運行Kerberos v
認證協議的計算機進行認證
認證證書由一個作為證書機關(CA)系統簽署
預先共享密鑰
在預先共享密鑰認證中
計算機系統必須認同在IPSec策略中使用的一個共享密鑰
使用預先共享密鑰僅當證書和Kerberos無法配置的場合
IPSec加密協議 IPSec提供三種主要加密方法
如下
數據加密標准 (DES
位)
該加密方法性能最好
但安全性較低
該
位數據加密標准(Data Encryption Standard
簡稱DES)通常被稱為 安全套接字層(Secure Sockets Layer
簡稱SSL)
適用於數據安全性要求較低的場合
數據加密標准 (DES
位)
通過IPSec策略
可以使用
位 DES的加密方法
年美國國家標准局公布了DES算法
它可以在通信過程中經常生成密鑰
該功能可防止因為一個DES密鑰被破譯而整個數據集的安全受到影響
但是在商業中被認為過時了
僅用於傳統的應用支持
有專門的硬件可以破譯標准的
位密鑰
DES
IPSec策略可以選擇一個強大的加密算法
DES
其安全性比DES更高
DES也使用了
位密鑰
但使用了三個
結果
DES成為
位加密算法
用於諸如美國政府這樣的高機密的環境中
采用該策略的所有計算機將都遵守這樣的機制
IPSec傳輸模式 IPSec可以在兩種不同的模式下運作:傳輸模式和隧道模式
這些模式指的是數據在網絡中是如何發送和加密的
在傳輸模式下
IPSec的保護貫穿全程:從源頭到目的地
被稱為提供終端到終端的傳輸安全性
隧道模式僅僅在隧道點或者網關之間加密數據
隧道模式提供了網關到網關的傳輸安全性
當數據在客戶和服務器之間傳輸時
僅當數據到達網關時才得到加密
其余路徑不受保護
一旦到達網關
就采用IPSec進行加密
等到達目的網關之後
數據包被解密和驗證
之後數據發送到不受保護的目的主機
隧道模式通常適用於數據必須離開安全的LAN或者WAN的范圍
且在諸如互聯網這樣的公共網絡中傳輸的場合
我看了幾個朋友的服務器配置
每一個人都使用的是TCP/IP篩選對網站的訪問端口進行設定
這到沒什麼關系
但對IPSec 策略最多也只設定封一下ICMP
別的都沒設定
出於安全考慮
這樣做不是很好
因為
我來做個比較 TCP/IP篩選只可只設定客戶端通過幾個固定的TCP或UDP端口進行對服務器的訪問
或限定IP訪問
每增加一次就要重啟服務器一次
只能適合比較小型訪問
原來我為了讓Serv_u能進行正常訪問
加了N個端口
累的要死(因為FTP軟件連接到FTP服務器的話
會隨機使用一些端口
因為設定問題
就看不到目錄了)
現在想起來也好笑
IPSec 策略可設定即時生效
不用重啟服務器
可對端口或IP進行封鎖或訪問
可拒絕一些不安全端口的訪問
也可像TCP/IP篩選一樣只設定客戶端通過幾個固定的TCP或UDP端口進行對服務器的訪問
可選擇性要大很多
其中的許可比拒絕優先
這樣就可以設定優先通過某一些特定的IP
也可設定某個IP只能訪問某個端口之類的
只要你有想像力
哈哈
就很簡單了
這裡我寫的都是一些知識
沒有寫操作步驟
因為操作很簡單
只要說一下原理
懂原理比操作更快
如安全方面的話
TCP/IP篩選會在注冊表中的
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet
\Services\Tcpip\Parameters
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet
\Services\Tcpip\Parameters
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet
\Services\Tcpip\Parameters
中的EnableSecurityFilters值上設定
當為
EnableSecurityFilters
=dword:
即TCP/IP篩選生效
當為
EnableSecurityFilters
=dword:
即TCP/IP篩選失效
這樣就給我們一個漏洞了
用regedit
e導出以上三個鍵值
把EnableSecurityFilters值改成dword:
regedit
s
嘻嘻
你設的再多也等於零
IPSec 策略就沒有這個安全隱患
上面還有IPSec 策略的一些加密說明
安全吧??!!而且IP策略可以備份為文件方便在不同的電腦上使用
不過
K和XP或
K
使用的不同
這點到是要注意一下
我給出兩個IPSec的策略
windows安全策略包v
plus
windows安全策略包服務器版
說明一下
這些設定只是針對端口或IP進行管理的
沒什麼很高深的東西
而且有一些功能是無法進行設定的(如果什麼都能設定的話
那還需要防火牆做什麼)
但這是WEB服務器的第一道關口
如果不設置好的話
後面很容易出問題的
我剛給出的只是一個例子
破TCP/IP篩選有幾種方法
這裡就不好說明了
總結一下
TCP/IP篩選只是開胃菜
IPSec 策略是紅酒
防火牆是面包
防火牆是主菜(硬件級的)
一樣也不能少
都要做好設定
那就這樣!
From:http://tw.wingwit.com/Article/os/xtgl/201311/10169.html
