shanhe的专栏

三省吾身

如何利用IP安全管理策略进行安全漏洞防护

如何利用IP安全管理策略进行安全漏洞防护

 

何谓“IP 安全管理策略”?

Windows Internet 协议安全 (IPSec),这是一种用来保护内部网、专用网络、外部网 (InternetExtranet) 免遭攻击的重要防御方法。

 

IPSec 用来对两台计算机之间传输的数据进行加密,防止在网上看到它的人对它进行更改和破译。管理员必须首先定义两台计算机相互信任的方式,然后指定这两台计算机保证它们之间通信安全的方式。

 

通信主体机器必须开通 IPSEC Policy AgentPolicyAgent)服务。

 

一台机器同一时刻仅能够指派一个安全策略。

一个IP安全策略可以指定多个IP规则。

 

 

IP筛选器

IP筛选器是对IP访问数据传输的安全需求描述。一般指定IP的源和目标,包含端口、协议类型等的定义。制定了IP筛选器,即表明要对特定的(符合筛选器描述)IP流量进行特殊控制。

 

IP筛选器列表

一组(一个或多个)IP筛选器构成IP筛选器列表

 

 

IP安全规则

IP筛选器列表的访问控制设定为制定IP安全规则。

IP规则包括:

              IP筛选器列表

              筛选器操作

              身份验证方法

              连接类型

              隧道方法

 

筛选器的操作通常有:

       请求安全设置

              如果筛选器操作选择此项,那么通信时:

接受没有加密的通讯,但采用IPSec请求客户端建立信任和安全方法。如果客户端没有响应请求,会与不受信任的客户端进行不加密的通讯。

                    

       要求安全设置

接受没有加密的通讯,但总是要求客户端建立信任和安全方法。不与不受信任的客户端通讯。

 

       允许

              允许没有安全措施的 IP 数据包通过。也就是没有采用IPSec任何过滤措施。

 

解读:

       如果

 

下面考虑如何利用IP安全策略来提高服务器安全。

考虑一台没有配备任何防火墙/反黑软件的web服务器,开了ftp服务,我们想将此服务器的8021以外的端口关闭,但是开放的端口需要授权才可连接。

授权分为2步:

1、  首先是IPSec服务需要可用,需要启动IPSec的服务

2、  屏蔽掉无关端口,开80 21 20(ftp 可能需要20端口),通过网卡TCP/IP属性的高级选项进入

3、  准备IP筛选器,建立任何IP到本服务器的20 21端口的连接筛选,构成一个IP筛选器,取名为“ftp IP筛选”

4、  建立新的“IP安全策略”,取名为“仅开FTP的安全策略”

5、  选择使用预先设定的密码,输入“CBIQ”或其他密码

6、  然后添加 IP安全规则,也选择预先设定的密码

7、  选择“要求安全设置”,以让ftp端口的通信采用密码进行

8、  保存

9、  如果其他端口也需要密码,也如此进行

10、              指派 “仅开FTP的安全策略”的安全策略

 

客户端,也需要进行到特定服务器的通信筛选器,指派后即可连接。

 

需要注意的是,FTPPSAV和非PSAV模式,需要对server同客户端同步设定。

阅读更多
个人分类: WEB MISC
想对作者说点什么? 我来说一句

没有更多推荐了,返回首页

不良信息举报

如何利用IP安全管理策略进行安全漏洞防护

最多只允许输入30个字

加入CSDN,享受更精准的内容推荐,与500万程序员共同成长!
关闭
关闭