打印本文 关闭窗口 | ||||
剔除危险 用IPsec规则过滤网络 | ||||
作者:陈鹏 文章来源:eNet 点击数 更新时间:2009/9/11 23:25:33 文章录入:陈鹏 责任编辑:陈鹏 | ||||
|
||||
IPsec过滤规则是通过使用组策略并通过创建和分配一个IPsec策略来实施的,这就允许在域、站点或组织单元层次上来对IPsec进行配置。第一步就是创建和定义过滤规则和操作,如此一来就控制了有哪些协议、端口和IP地址等是被允许或阻止的。这些规则以实现安全操作的策略为基础,并与客户端保持一致。要想使用IP安全策略来管理域成员的IPsec策略,用户必须选择管理此计算机所属的活动目录域(The Active Directory Domain)。用户可以在管理控制台(MMC)右侧窗格中的IP安全策略上右击,并选择管理IP过滤器列表和过滤器动作,来增加、编辑和移除过滤器。下一步就是通过将多种IP过滤器和过滤器动作添加到新策略中来创建一个IPsec策略。如果要将IP安全策略指派到组策略,选择一个组策略对象,也就是你想要指派IP安全策略对象。下一步,展开计算机配置视图,单击“IP安全策略”文件夹,在你想要指派的策略上右击,单击“指派”。 Ipsec规则可以包含几个不同过滤规则和活动,这使它非常灵活。它能控制访问不同的域和计算机,还能用于阻止访问某些站点或应用程序,如聊天室站点。IPsec协议还可以用于数据的保密、完整性、真实性,但它并不能保证全部网络通信的安全。具体信息,请参考:Microsoft Knowledge Base article 253169。 注意!在使用IPsec策略时,你需要对阻止特定端口所造成的影响有一个清晰的理解。例如,阻止端口135防止DCOM RPC漏洞就会影响活动目录和Exchange的功能,因为它们也使用135端口。因此,重要的是需要测试过滤确保你已经完成了预定的目标。Windows XP 的Service Pack 2 包含了一个命令行工具ipsecmd.exe,可以用于管理IPsec策略和过滤规则,不过使用起来并不太直观。可喜的是,Vista已集成了防火墙过滤功能和IPsec保护设置。这些都可以使用Windows 高级安全防火墙来管理。这也就意味着你不太可能设置与IPsec策略相冲突的防火墙过滤器。 Windows 2000/XP/2003操作系统提供了对IPSec协议的支持,虽然它提供的功能不是十分完善,但只要你进行合理定制,一样能非常有效地增强网络安全。
【责任编辑 彭凡】 |
||||
打印本文 关闭窗口 |