熱點推薦:
您现在的位置: 電腦知識網 >> 操作系統 >> Windows系統管理 >> 正文

淺談分析TCP/IP篩選 VS IPSec 策略

2013-11-11 22:13:10  來源: Windows系統管理 
  配置 TCP/IP 安全
  
   單擊開始指向設置單擊控制面板然後雙擊網絡和撥號連接
  
   右鍵單擊要在其上配置入站訪問控制的接口然後單擊屬性
  
   在選定的組件被這個連接所使用框中單擊 Internet 協議 (TCP/IP)然後單擊屬性
  
   在 Internet 協議 (TCP/IP) 屬性對話框中單擊高級
  
   單擊選項選項卡
  
   單擊 TCP/IP 篩選然後單擊屬性
  
   選中啟用 TCP/IP 篩選(所有適配器)復選框選中此復選框後將對所有適配器啟用篩選但您要逐個為適配器配置篩選器同一篩選器並不適用於所有適配器
  
   該窗口中一共有三列分別標記為:
  
  TCP 端口
  
  UDP 端口
  
  IP 協議在每一列中都必須選擇下面的某個選項:
  
  全部允許如果要允許 TCP 或 UDP 通信的所有數據包請保留全部允許處於選中狀態
  
  僅允許如果只允許選定的 TCP 或 UDP 通信請單擊僅允許再單擊添加然後在添加篩選器對話框中鍵入相應的端口
  
  如果要阻止所有 UDP 或 TCP 流量請單擊僅允許但不要在 UDP 端口或 TCP 端口列中添加任何端口號如果您為 IP 協議選中了僅允許並排除了 IP 協議 並不能阻止 UDP 或 TCP 通信
  
  請注意即使在 IP 協議列中選擇了僅允許而且不添加 IP 協議 也無法阻止 ICMP 消息
  
  TCP/IP 篩選只能篩選入站流量此功能不影響出站流量也不影響為接受來自出站請求的響應而創建的響應端口如果需要更好地控制出站訪問請使用 IPSec 策略或數據包篩選
  
  以下是關於IPSec 策略的官方說明
  
  Internet 協議安全 (IPSec) 循序漸進指南
  
  在進行IPSec完整性配置時有兩個選項 :Message Digest (MD)和安全散列算法(Secure Hash Algorithm 簡稱SHA)後者的安全度更高但需要更多的 CPU資源MD使用位散列算法而SHA使用的位算法
  
  IPSec 認證協議
  
  當兩個系統互相交換加密數據之前需要相互對加密的數據包進行安全認定這個安全認定成為安全協定(security association簡稱SA)在相互通信之前兩個系統必須認定對同一SA
  
  因特網密鑰交換協議(Internet Key Exchange簡稱IKE)管理著用於IPSec連接的 SA協議過程IKE是因特網工程任務組(Internet Engineering Task Force簡稱IETF)制定的關於安全協議和密鑰交換的標准方法IKE的操作分兩階段:第一階段確保通信信道的安全第二階段約定SA的操作
  
  為了建立IPSec通信兩台主機在SA協定之前必須互相認證有三種認證方法:
  
  Kerberos Kerberos v常用於Windows Server 是其缺省認證方式 Kerberos能在域內進行安全協議認證使用時它既對用戶的身份也對網絡服務進行驗證Kerberos的優點是可以在用戶和服務器之間相互認證也具有互操作性Kerberos可以在 Server 的域和使用Kerberos 認證的UNix環境系統之間提供認證服務
  
  公鑰證書 (PKI) PKI用來對非受信域的成員非Windows客戶或者沒有運行Kerberos v 認證協議的計算機進行認證認證證書由一個作為證書機關(CA)系統簽署
  
  預先共享密鑰 在預先共享密鑰認證中計算機系統必須認同在IPSec策略中使用的一個共享密鑰 使用預先共享密鑰僅當證書和Kerberos無法配置的場合
  
  IPSec加密協議
  
  IPSec提供三種主要加密方法如下
  
  數據加密標准 (DES 位) 該加密方法性能最好但安全性較低位數據加密標准(Data Encryption Standard簡稱DES)通常被稱為 安全套接字層(Secure Sockets Layer簡稱SSL)適用於數據安全性要求較低的場合
  
  數據加密標准 (DES 位) 通過IPSec策略可以使用位 DES的加密方法年美國國家標准局公布了DES算法它可以在通信過程中經常生成密鑰該功能可防止因為一個DES密鑰被破譯而整個數據集的安全受到影響但是在商業中被認為過時了僅用於傳統的應用支持有專門的硬件可以破譯標准的 位密鑰
  
  DES IPSec策略可以選擇一個強大的加密算法DES其安全性比DES更高DES也使用了位密鑰但使用了三個結果DES成為 位加密算法用於諸如美國政府這樣的高機密的環境中采用該策略的所有計算機將都遵守這樣的機制
  
  IPSec傳輸模式
  
  IPSec可以在兩種不同的模式下運作:傳輸模式和隧道模式這些模式指的是數據在網絡中是如何發送和加密的在傳輸模式下IPSec的保護貫穿全程:從源頭到目的地被稱為提供終端到終端的傳輸安全性
  
  隧道模式僅僅在隧道點或者網關之間加密數據隧道模式提供了網關到網關的傳輸安全性當數據在客戶和服務器之間傳輸時僅當數據到達網關時才得到加密其余路徑不受保護一旦到達網關就采用IPSec進行加密等到達目的網關之後數據包被解密和驗證之後數據發送到不受保護的目的主機隧道模式通常適用於數據必須離開安全的LAN或者WAN的范圍且在諸如互聯網這樣的公共網絡中傳輸的場合
  
  我看了幾個朋友的服務器配置每一個人都使用的是TCP/IP篩選對網站的訪問端口進行設定這到沒什麼關系但對IPSec 策略最多也只設定封一下ICMP別的都沒設定出於安全考慮這樣做不是很好因為
  
  我來做個比較
  
  TCP/IP篩選只可只設定客戶端通過幾個固定的TCP或UDP端口進行對服務器的訪問或限定IP訪問每增加一次就要重啟服務器一次只能適合比較小型訪問原來我為了讓Serv_u能進行正常訪問加了N個端口累的要死(因為FTP軟件連接到FTP服務器的話會隨機使用一些端口因為設定問題就看不到目錄了)現在想起來也好笑
  
  IPSec 策略可設定即時生效不用重啟服務器可對端口或IP進行封鎖或訪問可拒絕一些不安全端口的訪問也可像TCP/IP篩選一樣只設定客戶端通過幾個固定的TCP或UDP端口進行對服務器的訪問可選擇性要大很多其中的許可比拒絕優先這樣就可以設定優先通過某一些特定的IP也可設定某個IP只能訪問某個端口之類的只要你有想像力哈哈就很簡單了這裡我寫的都是一些知識沒有寫操作步驟因為操作很簡單只要說一下原理懂原理比操作更快
  
  如安全方面的話TCP/IP篩選會在注冊表中的
  
  HKEY_LOCAL_MACHINE\SYSTEM\ControlSet\Services\Tcpip\Parameters
  
  HKEY_LOCAL_MACHINE\SYSTEM\ControlSet\Services\Tcpip\Parameters
  
  HKEY_LOCAL_MACHINE\SYSTEM\ControlSet\Services\Tcpip\Parameters
  
  中的EnableSecurityFilters值上設定當為EnableSecurityFilters=dword:即TCP/IP篩選生效當為EnableSecurityFilters=dword:即TCP/IP篩選失效這樣就給我們一個漏洞了用regedit e導出以上三個鍵值把EnableSecurityFilters值改成dword:regedit s嘻嘻你設的再多也等於零
  
  IPSec 策略就沒有這個安全隱患上面還有IPSec 策略的一些加密說明安全吧??!!而且IP策略可以備份為文件方便在不同的電腦上使用不過K和XP或K使用的不同這點到是要注意一下
  
  我給出兩個IPSec的策略
  
  windows安全策略包vplus
  
  windows安全策略包服務器版
  
  說明一下這些設定只是針對端口或IP進行管理的沒什麼很高深的東西而且有一些功能是無法進行設定的(如果什麼都能設定的話那還需要防火牆做什麼)但這是WEB服務器的第一道關口如果不設置好的話後面很容易出問題的我剛給出的只是一個例子破TCP/IP篩選有幾種方法這裡就不好說明了總結一下TCP/IP篩選只是開胃菜IPSec 策略是紅酒防火牆是面包防火牆是主菜(硬件級的)一樣也不能少都要做好設定那就這樣!
From:http://tw.wingwit.com/Article/os/xtgl/201311/10169.html
    推薦文章
    Copyright © 2005-2013 電腦知識網 Computer Knowledge   All rights reserved.