本機的IP安全策略����、安全選項
如何啟用本地IPSec安全策略
創(chuàng)新互聯(lián)是一家專業(yè)提供鹽都企業(yè)網(wǎng)站建設(shè),專注與成都網(wǎng)站設(shè)計、成都網(wǎng)站制作���、HTML5建站�、小程序制作等業(yè)務(wù)��。10年已為鹽都眾多企業(yè)��、政府機構(gòu)等服務(wù)�����。創(chuàng)新互聯(lián)專業(yè)網(wǎng)站建設(shè)公司優(yōu)惠進行中�。
方法一:利用MMC控制臺
第一步:點擊“開始→運行”,在運行對話框中輸入“MMC”�����,點擊“確定”按鈕后�,啟動“控制臺”窗口。
第二步:點擊“控制臺”菜單中的“文件→添加/刪除管理單元”選項���,彈出“添加/刪除管理單元”對話框���,點擊“獨立”標簽頁的“添加”按鈕���,彈出“添加獨立管理單元”對話框。
第三步:在列表框中選擇“IP安全策略管理”點擊“添加”按鈕��,在“選擇計算機”對話框中��,選擇“本地計算機”�����,最后點擊“完成”���。這樣就在“MMC控制臺”啟用了IPSec安全策略�����。
方法二:利用本地安全策略
進入“控制面板→管理工具”選項���,運行“本地安全設(shè)置”選項,在“本地安全設(shè)置”窗口中展開“安全設(shè)置”選項��,就可以找到“IP安全策略,在本地計算機”��。
IPSec安全策略的組成
為了增強網(wǎng)絡(luò)通信安全或?qū)蛻魴C器的管理��,網(wǎng)絡(luò)管理員可以通過在Windows系統(tǒng)中定義IPSec安全策略來實現(xiàn)�����。一個IPSec安全策略由IP篩選器和篩選器操作兩部分構(gòu)成���,其中IP篩選器決定哪些報文應(yīng)當(dāng)引起IPSec安全策略的關(guān)注,篩選器操作是指“允許”還是“拒絕”報文的通過����。要新建一個IPSec安全策略,一般需要新建IP篩選器和篩選器操作��。
PSec安全策略應(yīng)用實例
目的:阻止局域網(wǎng)中IP為“192.168.0.2”的機器訪問Windows2003終端服務(wù)器���。
很多服務(wù)器都開通了終端服務(wù)��,除了使用用戶權(quán)限控制訪問外����,還可以創(chuàng)建IPSec安全策略進行限制。
第一步:在Windows
2003服務(wù)器的IP安全策略主窗口中�,右鍵點擊“IP安全策略,在本地計算機”�,選擇“創(chuàng)建IP安全策略”選項,進入“IP安全策略向?qū)А?���,點擊“下一步”,在“IP安全策略”名稱對話框中輸入該策略的名字如“終端服務(wù)過濾”����,點擊“下一步”,下面彈出的對話框都選擇默認值�,最后點擊“完成”按鈕。
第二步:為該策略創(chuàng)建一個篩選器��。右鍵點擊“IP安全策略�,在本地計算機”,在菜單中選擇“管理IP篩選器表和篩選器操作”����,切換到“管理IP篩選器列表”標簽頁,點擊下方的“添加”����,彈出的“IP篩選器列表”對話框��,在“名稱”輸入框中輸入“終端服務(wù)”����,點擊“添加”����,進入“IP篩選器向?qū)А贝翱?���,點擊“下一步”,在“源地址”下拉列表框中選擇“一個特定IP地址”��,然后輸入該客戶機的IP地址和子網(wǎng)掩碼��,如“192.168.0.2”��。點擊“下一步”后���,在“目標地址”下拉列表框中選擇“我的IP地址”�����,點擊“下一步”�����,接著在“選擇協(xié)議類型”中選擇“TCP”協(xié)議��,點擊“下一步”�,接著在協(xié)議端口中選擇“從任意端口,到此端口”�����,在輸入框中填入“3389”���,點擊“下一步”后完成篩選器的創(chuàng)建���。
第三步:新建一個阻止操作。切換到“篩選器操作”標簽頁���,點擊“添加”按鈕���,進入到“IP安全篩選器操作向?qū)А保c擊“下一步”�����,給這個操作起一個名字,如“阻止”���,點擊“下一步”�����,接著設(shè)置“篩選器操作的行為”��,選擇“阻止”單選項�����,點擊“下一步”,就完成了“IP安全篩選器操作”的添加工作��。最后在IP安全策略主窗口中��,雙擊第一步建立的“終端服務(wù)過濾”安全策略���,點擊“添加”按鈕���,進入“創(chuàng)建IP安全規(guī)則向?qū)А保c擊“下一步”����,選擇“此規(guī)則不指定隧道”����,點擊“下一步”�,在網(wǎng)絡(luò)類型對話框中選擇“局域網(wǎng)”,點擊“下一步”�,在接下來對話框中選擇默認值,點擊“下一步”�,在IP篩選器列表中選擇“終端服務(wù)”選項,點擊“下一步”����,接著在篩選器操作列表中選擇“阻止”,最后點擊“完成”���。
完成了創(chuàng)建IPSec安全策略后��,還要進行指派���,右鍵單擊“終端服務(wù)過濾”,在彈出的菜單中選擇“指派”�,這樣就啟用了該IPSec安全策略。局域網(wǎng)中IP為“192.168.0.2”的機器就不能訪問Windows
2003終端服務(wù)器了�����。
Windows系統(tǒng)的IPSec安全策略也存在不足,一臺機器同時只能有一個策略被指派���。
作為一名企業(yè)網(wǎng)絡(luò)安全管理人員怎么提高網(wǎng)絡(luò)管理的安全性
網(wǎng)絡(luò)安全管理第一個黃金法則:一致性原則�。 企業(yè)安全性防護跟其他信息化項目一樣���,是一個系統(tǒng)工程�����。若我們采取搭積木的方法���,搞企業(yè)的網(wǎng)絡(luò)安全性工作的話���,那么肯定會漏洞百出�。
一方面各個信息化安全管理方案之間可能會相互沖突�,反而會造成網(wǎng)絡(luò)方面的通信故障。如我們在單機上安裝金山毒霸的單機版殺毒軟件��,而防火墻采用的是瑞星的產(chǎn)品���。那么就可能導(dǎo)致用戶某些網(wǎng)絡(luò)軟件運行錯誤�,導(dǎo)致操作系統(tǒng)速度明顯變慢等等不良反應(yīng)。
另一方面�����,各個信息化管理方案之間由于缺乏一個統(tǒng)一的平臺�,這就好象是拼圖一樣。就算再嚴的話�����,也會有縫隙�。只要一點小小的縫隙,就會讓非法攻擊者有機可乘�。他們很可能利用這一點縫隙,進入到企業(yè)的內(nèi)部�,對企業(yè)網(wǎng)絡(luò)執(zhí)行攻擊。
故企業(yè)在網(wǎng)絡(luò)安全體系的設(shè)計與管理中����,一定要注意一致性原則。一致性原則在實際管理中���,主要體現(xiàn)如下幾個方面�。
一是若采用的是Windows的網(wǎng)絡(luò)管理環(huán)境,則最好采用域來管理企業(yè)網(wǎng)絡(luò)����。因為企業(yè)若搭建一個域環(huán)境的話,則可以對企業(yè)網(wǎng)絡(luò)實現(xiàn)一個統(tǒng)一的管理����。如統(tǒng)一管理企業(yè)網(wǎng)絡(luò)賬戶、統(tǒng)一管理安全策略���、統(tǒng)一制定響應(yīng)措施等等���。通過域可以幫助企業(yè)網(wǎng)絡(luò)管理員,在一個平臺上實現(xiàn)對網(wǎng)絡(luò)進行一致性管理�����。
二是盡量采用企業(yè)級別的安全管理軟件�。如最常見的就是反病毒軟件與防火墻軟件�。網(wǎng)絡(luò)版的殺毒軟件與單機版的殺毒軟件效果是不同的。即使跟每個用戶都安裝了殺毒軟件��,但是�����,其效果仍然沒有網(wǎng)絡(luò)版的殺毒軟件來得好。這主要是因為��,網(wǎng)絡(luò)版的殺毒軟件�,不僅僅可以對各個主機的病毒進行查殺,重要的在于�,其還可以對整個網(wǎng)絡(luò)進行監(jiān)控;并且��,其還可以對各個客戶端殺毒軟件進行統(tǒng)一的管理�����,如對其進行強制的升級���、殺毒等等�。所以筆者的觀點是���,雖然網(wǎng)絡(luò)版本的殺毒軟件價格比較高�,但是若企業(yè)對于網(wǎng)絡(luò)安全比較敏感的話���,則購買網(wǎng)絡(luò)版本的殺毒軟件還是比較值得的���。
三是一些網(wǎng)絡(luò)應(yīng)用的常規(guī)設(shè)計等等����。如為了提高文件的安全性���,防止被非法訪問����、修改���,則在公司內(nèi)部建立一個文件服務(wù)器是一個不錯的選擇���。通過文件服務(wù)器,統(tǒng)一各個用戶的訪問權(quán)限��;對服務(wù)器中的文件進行定時的備份�;對用戶的訪問進行統(tǒng)一的監(jiān)督控制等等。利用文件服務(wù)器這一個統(tǒng)一的管理平臺��,可以有效的提高文件的安全性����。比起在用戶終端保存文件來說,安全系數(shù)會提高很多�。
總之,在企業(yè)網(wǎng)絡(luò)安全管理thldl.org點吸煙
中�,我們需要尋找一些統(tǒng)一的管理平臺。而對于那些孤軍作戰(zhàn)的產(chǎn)品���,我們要避而遠之�。
網(wǎng)絡(luò)安全管理第二個黃金法則:透明性選擇�。 我們采取的任何安全策略,對于終端用戶來說�����,應(yīng)該追求一個透明性����。也就是說,我們即使采用了安全策略的話����,用戶也是不知情的。如此的話�,就不會因為一些安全性設(shè)置��,而影響到用戶的工作效率�。
如有些企業(yè)�����,為了提高用戶文件的安全性��,會定時對他們電腦內(nèi)的重要文件夾��,如桌面或者我的文檔中的內(nèi)容進行備份�����。若現(xiàn)在需要用戶手工對這些文件夾中的內(nèi)容進行備份的話����,那顯然是不合適的。讓用戶額外的增加一道工作��,他們并不見得樂意���,就可能會偷工減料的做�����。我們希望這個安全策略是對用戶透明的���,也就是說,不需要用戶干預(yù)就可以完成的�����。為此����,我們可以設(shè)置當(dāng)用戶開機或者關(guān)機的時候,作為觸發(fā)點��,對這些重要文件進行備份�����。如此的話����,用戶不用參與到這個過程中,對于用戶來說���,就是透明的��。不會影響他們的工作效率��。 如對于網(wǎng)絡(luò)傳輸中的密文傳輸����,也不需要用戶去判斷是否需要對傳輸?shù)膬?nèi)容進行加密,而是網(wǎng)絡(luò)會根據(jù)自身的安全設(shè)計原則進行判斷����。如現(xiàn)在比較流行的IP安全策略,就就有這方面的智能��。IP安全策略有三種級別�,分別為安全服務(wù)器(必須安全)、客戶端(僅響應(yīng))��、服務(wù)器(請求安全)三種級別����。如果一方設(shè)置為安全服務(wù)器,則就要求跟其進行通信的所有IP通信總是使用新人請求安全�����。也就是說����,當(dāng)其在發(fā)送信息之前��,會請求對方啟用IP安全加密策略��。若對方不支持的話���,則就會拒絕跟自己的通信��。很明顯��,這是一個很高的安全級別�����。若我們采用的是服務(wù)器級別的話���,則在發(fā)送之前會先請求對方對數(shù)據(jù)進行加密�����。若對方支持加密則更好����,發(fā)送方就會對數(shù)據(jù)進行加密。但是����,若對方不支持這個加密功能的話,則就采用明文傳輸���。而若是客戶端的話�����,則其只有在別人請求其使用加密技術(shù)的時候��,才會對其傳送的數(shù)據(jù)進行加密����。這個過程比較復(fù)雜����,若讓用戶手工進行管理的話,那顯然不是很現(xiàn)實�����,光這個相互確認的過程就需要占用他們很多的時間。所以�,現(xiàn)在這個過程對于用戶來說是透明的,他們不需要進行干預(yù)�����。當(dāng)他們需要向某個人發(fā)送信息的時候�,電腦主機會自動進行協(xié)商,看看是否需要進行加密���。這就是對用戶來說的透明技術(shù)�。
另外���,說道透明性還不得不提微軟的一種文件加密策略。微軟在NTFS的文件系統(tǒng)中�,提供了一種EFS的文件加密機制。當(dāng)把某個文件夾設(shè)置為EFS加密的時候��,當(dāng)把文件保存到這個文件夾中���,則操作系統(tǒng)會自動根據(jù)用戶賬戶的序列號對這個文件進行加密�。如此的話�,當(dāng)文件被其他用戶訪問或者非法復(fù)制的時候,這些文件他們是打不開的或則是以亂碼顯示�,對他們沒有實際的意義�����。當(dāng)文件所有者下次再登陸操作系統(tǒng)打開這個文件的時候�,則操作系統(tǒng)會自動對這個加密文件進行解密����。這種措施比設(shè)置文件密碼要安全的多。因為若對WORD等文件設(shè)置密碼的話����,則利用破解工具破解比較容易。但是��,若要對EFS加密過的文件進行破解的話���,則基本上是不可能的��,因為其秘鑰很長���。當(dāng)然,這個加密解密的過程對用戶來說�,也是透明的。
所以,筆者認為�,在設(shè)計安全性解決方案的時候,要注意對用戶的透明�。如此的話,在企業(yè)網(wǎng)絡(luò)與信息安全的同時���,也不會影響到他們的正常工作��。
網(wǎng)絡(luò)安全管理第三個黃金法則:木桶原則���。 在我們網(wǎng)絡(luò)安全管理者中,有句俗話��,叫做“外敵可擋�����,家賊難防”���。根據(jù)相關(guān)的數(shù)據(jù)統(tǒng)計,企業(yè)網(wǎng)絡(luò)的安全事故中�����,由外面攻擊得逞的比率大概在20%左右;其他的80%都是通過內(nèi)部攻擊所造成的�����。這不僅包括內(nèi)部員工的惡意報復(fù)���;還有就是外部攻擊者先攻破了內(nèi)部網(wǎng)絡(luò)的一臺主機����,然后把這臺主機當(dāng)作他們的“肉雞”�����,進行攻擊���。所以說���,企業(yè)網(wǎng)絡(luò)安全管理中,每一個環(huán)節(jié)都是重要的環(huán)節(jié)���。若一個環(huán)節(jié)疏忽了�����,則對方就可以猛打這個弱點����。把這個弱點攻破了,他們就可以以此作為跳板�����,攻打其他堡壘了�����。
所以����,根據(jù)木桶原則,我們在網(wǎng)絡(luò)安全管理中���,需要對企業(yè)網(wǎng)絡(luò)進行均衡�����、全面的保護。任何一方面的缺失或者疏漏都會造成整個安全體系的崩潰�,導(dǎo)致我們的工作功虧一簣�����。這就好像木桶中���,決定木桶的存儲量的永遠是那一塊最低的木板。
網(wǎng)絡(luò)攻擊者在攻擊網(wǎng)絡(luò)的時候�,往往是根據(jù)“最易滲透性”的原則來攻擊的。也就是說�,他們會先找到企業(yè)網(wǎng)絡(luò)中的一個薄弱環(huán)節(jié)進行攻擊。現(xiàn)在企業(yè)網(wǎng)絡(luò)中找到一個可用的跳板��,然后抓住這個機會�����,利用網(wǎng)絡(luò)安全管理員重外部輕內(nèi)部的心理�,從企業(yè)網(wǎng)絡(luò)內(nèi)部對企業(yè)網(wǎng)絡(luò)發(fā)動攻擊。
為此����,我們網(wǎng)絡(luò)管理員就需要全面評估企業(yè)的網(wǎng)絡(luò)安全體系,找到那一塊最短的“木板”����,并且把他修復(fù)��。如此的話��,才能夠提高整個網(wǎng)絡(luò)的安全性�。筆者在對一些對安全有特殊需求的企業(yè)�����,如銀行���、證券部門進行網(wǎng)絡(luò)安全評估的時候���,就經(jīng)常給他們提起“木桶原則”。我會幫助他們找到現(xiàn)有網(wǎng)絡(luò)安全管理體系中的哪些偏短的木板���,這些往往是攻擊者在攻擊過程中的突破點���。然后再提一些針對性的解決方案。所以�,為了提高網(wǎng)絡(luò)的安全體系,技術(shù)不是最難的���。難度在于如何發(fā)現(xiàn)這些“短”的木板�����。這基本上不能依靠技術(shù)���,而要靠個人的經(jīng)驗了。
所以�����,在網(wǎng)絡(luò)安全體系設(shè)計與管理中��,我們要時時牢記“木桶原則”��,盡快的發(fā)現(xiàn)企業(yè)中那塊偏短的木板��,要么對此進行重點監(jiān)視���;要么通過一定的方法加長期長度�����。
目前����,網(wǎng)絡(luò)安全管理已經(jīng)越來越被重視,網(wǎng)絡(luò)只有安全了��,人們才能有良好的生活環(huán)境�����。所以說����,網(wǎng)絡(luò)安全管理是網(wǎng)絡(luò)建立的首要任務(wù)。
如何設(shè)置IP安全策略�,只允許特定IP訪問服務(wù)器
03系統(tǒng)例舉
01.首先打開控制面板,進入“管理工具”��,然后雙擊打開“本地安全策略”
02.使用鼠標右鍵單擊左方的“ip
安全策略����,在
本地計算機”選項,并選擇“創(chuàng)建
ip
安全策略”選項
03.點擊“下一步”按鈕
04.設(shè)置一個ip策略名稱���,例如設(shè)置為“端口限制策略”�,使用其它名稱也可以
05.點擊“下一步”按鈕
06.去掉“激活默認響應(yīng)規(guī)則”選項的勾
07.點擊“下一步”按鈕
08.點擊“完成”按鈕
09.去掉右導(dǎo)”選項的勾
10.現(xiàn)在先開始添止所有機器訪問服務(wù)器��,點擊“添加”按鈕
11.點擊“添加”按鈕
12.設(shè)置ip篩選器的名稱,例如設(shè)置為“禁止所有機器訪問服務(wù)器”��,使用其它名稱也可以
13.點擊“添加”按鈕
14.如果該服務(wù)器不打算上網(wǎng)��,則可以將“源地址”設(shè)置為“任何
ip
地址”���。如果需要上網(wǎng),建議設(shè)置為“一個特定的
ip
子網(wǎng)”�����,并設(shè)置ip地址為與該服務(wù)器ip地址相同的網(wǎng)段�����,例如服務(wù)器ip地址是192.168.1.10�����,則可以設(shè)置為192.168.1.0�,也就是前面3個數(shù)字是相同的,后面最后一位填1即可����,并設(shè)置子網(wǎng)掩碼,這個設(shè)置和服務(wù)器子網(wǎng)掩碼一致即可(具體請自行查看服務(wù)器的子網(wǎng)掩碼),如果局域網(wǎng)都是在192.168.1.*的范圍����,則直接設(shè)置為255.255.255.0即可
15.將“目標地址”設(shè)置為“我的
ip
地址”
16.點擊“確定”按鈕
17.點擊“確定”按鈕
18.選擇剛創(chuàng)建的ip篩選器(即12步中設(shè)置的名稱)
19.切換到“篩選器操作”選項頁
20.去掉“使用添加向?qū)А边x項的勾
21.點擊“添加”按鈕
22.選擇“阻止”選項
23.切換到“常規(guī)”選項頁
24.設(shè)置篩選器操作名稱,建議設(shè)置為“禁止”或“阻止”����,使用其它名稱也可以
25.點擊“確定”按鈕
26.選擇剛創(chuàng)建的篩選器操作(即24步設(shè)置的名稱)
27.點擊“應(yīng)用”按鈕
28.點擊“確定”按鈕
29.現(xiàn)在開始添加允許訪問該服務(wù)器的機器,點擊“添加”按鈕
30.點擊“添加”按鈕
31.設(shè)置ip篩選器名稱�����,建議設(shè)置為“允許訪問的機器”�����,使用其它名稱也可以
32.點擊“添加”按鈕
33.將“源地址”設(shè)置為“一個特定的
ip
地址”����,并設(shè)置下方的ip地址為允許訪問該服務(wù)器的ip中的一個(每次只能添加一個,所以需要慢慢添加)
34.設(shè)置“目標地址”為“我的
ip
地址”
35.點擊“確定”按鈕
36.重復(fù)32至35步將要允許訪問該服務(wù)器的ip全部添加
37.點擊“確定”按鈕
38.選擇剛創(chuàng)建的“ip
篩選器”(即31步設(shè)置的名稱)
39.切換到“篩選器操作”選項頁
40.選擇“許可”選項
41.點擊“應(yīng)用”按鈕
42.點擊“確定”按鈕
43.點擊“確定”按鈕
44.使用鼠標右鍵單擊剛創(chuàng)建的ip策略(即第4步設(shè)置的名稱)�,并選擇“指派”即可
45.以后需要添加、修改��、刪除允許訪問的ip時�����,可以編輯該ip策略的ip篩選器進行設(shè)置
注意:需要注意的是并非設(shè)置了ip策略后就能100%保證其它機器無法訪問服務(wù)器,因為如果他人知道您允許哪個ip訪問該服務(wù)器�����,對方可以修改自己的ip地址��,以獲得訪問權(quán)限ip�,這樣您的策略就失效了���。因此您可能還需要在服務(wù)器上綁定允許訪問該服務(wù)器的ip地址的mac地址(可以使用arp
-s命令來綁定)�,并在路由器中對這些ip綁定mac地址�����。不過對方也可以修改mac地址來獲取訪問權(quán)限����,因此使用ip安全策略并非絕對安全。
文章標題:服務(wù)器級別ip安全策略 服務(wù)器級別ip安全策略有哪些
文章起源:
http://weahome.cn/article/ddsospp.html
重慶分公司
重慶分公司
