网络安全系列之二十一 配置IPSEC安全策略

最新推荐文章于 2023-03-06 22:01:04 发布
最新推荐文章于 2023-03-06 22:01:04 发布
阅读量769 收藏 2
点赞数
文章标签: 网络
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_33805992/article/details/85072737
版权

1、了解IPSec安全策略

IPSec,Internet协议安全,是网络安全业内的一种开放标准,通过使用加密安全服务以确保网络通信的保密性和安全性。IPSec工作在网络层,对用户和应用程序是透明的,它可以提供对服务器的受限制的访问,可以自定义安全配置。 IPSec有两种工作模式:传输模式和隧道模式。传输模式用于保护主机到主机的通信,实现的是端到端的通信,在传输过程中对IP包头不加密,而是对数据部分进行加密;隧道模式用于保护主机和网络或者两个网络之间的通信,即实现***的功能,这种模式对整个IP数据包进行加密,对数据包进行了重新封装。

在Win2003系统中,需要在组策略中对IPSEC进行配置。打开组策略编辑器,在“计算机配置\windows设置\安全设置\IP安全策略”中可以对IPSec进行配置。

IPSec的功能是通过不同的IPSec策略实现的,在Windows系统中默认已经存在了3个IPSec策略,如图所示。

image

对这3个默认IPSec策略一般无需改动,绝大多数情况下都是通过建立新的IPSec策略以实现我们的要求。

下面我们以限制只有指定IP地址的客户端可以访问Win2003服务器上的远程桌面服务为例,来介绍IPSEC安全策略的配置方法。

 

2、限制指定客户端访问远程桌面

当我们把远程桌面服务开启后,可以方便管理远程服务器,但同时也给服务器带来了一定的威胁。为了服务器的安全,我们可以通过设置安全策略限制连接远程桌面服务的ip及网络

假设服务器的ip为192.168.100.33,为了服务器的安全,我们只允许192.168.100.34地址的连接远程桌面。

首先我们要在ip策略里新建一条策略,

image

进入如上图所示的ip安全策略向导,点击下一步——下一步(将策略命名为iprule),当弹出警告时,选择“是”——“下一步”。

image

点击“完成”,查看新建的ip策略,右击“属性”。

image

IPSec安全策略的功能主要是由IP安全规则实现的,在这个新建的策略里已经存在一个默认的动态规则,但并未启用。

IP安全规则又主要包括“IP筛选器列表”和“筛选器操作”两部分。

筛选器的作用是用来定义数据类型,筛选出符合要求的数据;筛选器操作则用来指定对这些筛选出来的数据进行什么操作。

所以定义IP安全规则主要分两步进行:首先定义IP筛选器,然后定义对筛选器的操作。

接下来我们要定义2条安全规则,一条规则拒绝任何ip连接到本机的3389端口,另一条规则只允许192.168.100.34这个ip连接到服务器的3389端口,这样新建的规则就会在拒绝规则的上方,实现一个ip的筛选。

首先建立拒绝任何ip连接到服务器的3389端口的规则。

点击添加按钮,打开新建规则向导。

image

下一步:

image

下一步:

image

选择“添加”,新建一个筛选器:

image

点击“添加”弹出ip筛选器列表

image

点击“添加”——“下一步”——“下一步”,然后在源地址栏选择“任何ip地址”

image

点击“下一步”,目的地址选择我的ip地址。

image

然后点击“下一步”,在ip协议类型选择tcp协议

image

点击“下一步”,把目标端口改成3389

image

点击“下一步”,然后点击“完成”——“确认”。

image

点击“确认”后,选择刚建的ip筛选列表,点击“下一步”,

image

弹出“ip”筛选操作。点击“添加”

image

点击“下一步”,给筛选器设置操作名称,

image

选择“阻止”,点击“下一步”

image

单击“完成”。

image

点击“完成”后,在筛选面板上选择“阻止”,单击“下一步”

image

点击“下一步”——然后点击“完成”。

image

点击“确认”后,右击“iprule”指派刚新建的策略,使其生效。

注:在指派之前打开命令行,输入services.msc,然后设置ipsec service为自动或手动,并开启服务。

image

指派策略:

image

通过上面策略创建与指派后,任何ip的端口都无法连接到服务器的3389端口,因此我们还需要新建一条规则,允许我们指定的ip访问服务器的3389端口。

双击iprule,在属性面板里添加规则。如图:

image

点击“下一步”直到如下图所示,添加ip筛选列表。

image

填写ip筛选相关信息。

image

点击“下一步”,然后选择指定源地址192.168.100.34

image

指定源地址后,点击“下一步”,选择目标地址为我的ip地址,协议为tcp,端口为3389。

目标地址:

image

Tcp协议:

image

3389端口:

image

点击“完成”。

image

返回到安全规则向导,选择刚才创建的允许指定ip访问服务器的3389端口的ip筛选列表,点击“下一步”。

image

选择“许可”然后“下一步”。

image

通过以上设置好,点击下一步,直至完成,最后查看新建好的策略。

image

在查看上图时,确保允许的规则在阻止规则上方,因为规则的执行是从上至下的顺序,这两条规则同时使用才能实现限制ip访问服务器远程桌面。

点击“确认”后,重启下规则,先关闭指派,再重新指派即可,至此,限制访问远程桌面服务全部完成。

举一反三,我们可以通过上面的方法,限制只允许某一个网段访问远程桌面,只需要选择源地址为某一个网段即可。

weixin_33805992
关注
  • 0
    点赞
  • 2
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
手把手教您配置IPSec安全策略(转)
cuankuangzhong6373的博客
05-24 4668
网络的安全性已经成为大家关注的焦点。由于在IP协议设计之初并没过多考虑安全问题,因此早期的网络经常发生遭受攻击或机密数据被窃取等问题。为了增强网络的安全性,IP安全(IPSec)协议应运而生。Windows 2000/XP/2...
保护网络安全IPsec,怎么配置配置步骤和参考命令奉上
12-15 1万+
网络存在哪些安全隐患? IPsec如何解决这些安全隐患? IPsec的隧道模式和传输模式区别是什么? 华为设备如何配置IPsec? 如果你想IPsec相关概念和原理,可以看看我之前发过这篇:写文章-CSDN博客,本篇为IPsec配置实战~ 一、实验拓扑 当前已完成了深圳总部出口路由器和长沙分支出口路由器的连通性, 但是两边的私网数据不能通信,现在希望双方能建立安全的私网通信。 二、实验目的: 配置IPsec,实现深圳总部和长沙分支之间安全的数据通信 数据加密算法使用.
IPSec基础-IPSec策略
weixin_33877092的博客
03-23 230
 IPSec本身没有为策略定义标准,策略的定义和表示由具体实施方案解决,以下对IPSec策略的介绍以Windows 2000为例。   在Windows 2000IPSec策略包括一系列规则(规则规定哪些数据流可以接受,哪些数据流不能接受)和过滤器(过滤器规定...
防火墙配置IPsec之后,数据到达防火墙上明明匹配了对应的安全策略但是却没有任何数据转发出去
qq_47529104的博客
12-31 1583
如图这是我搭建的一个拓扑,在防火墙的两端都配置IPsec,在配置IPsec之前我已经保证了整个拓扑的连通性,同时两边的防火墙上配置了从trust区域到untrust区域以及untrust区域到trust区域的安全策略,保证数据不会因为安全策略而出现丢包。 现在的情况是这样的,当我仅仅放行了trust---untrust0以及untrust---trust区域之间的数据流动的时候会出现虽然匹配了安全策略但是确没有任何报文流出的情况。现在我就分析一下为什么: 当我们的数据报文流向防火墙的时候,IPse..
IPSec应用方案设计
weixin_34224941的博客
05-15 194
以下内容摘自业界唯一一本真正从全局视角介绍网络安全系统设计的图书——《网络工程师必读——网络安全系统设计》一书。目前该书在卓越网上仅需要70折:http://www.amazon.cn/mn/detailApp?ref=DT_BG&uid=479-8465001-9671654&prodid=bkbk975360  8.10 IPSec应用方案设计 IPSec是一个可以在许多...
IPSec安全策略及实现
11-08 2535
陈   坚    王   闽(福州大学数学与计算机学院 福建 350002)(福建省科技信息研究所 福州 350003)  摘 要 介绍了IPSec的相关协议和原理,阐明了安全策略系统的体系结构以及安全策略和安全联盟的定义和表示方法。最后,介绍了IPSec数据流的处理流程。关键词 IPSec 安全策略 安全联盟1 IPSec协议简介  针对Internet的
利用Window自带Ipsec安全策略对服务器进行安全加固
09-30
**Windows内置IPsec安全策略详解** Windows操作系统内建了IPsec (Internet Protocol Security) 安全策略,这是一种用于保护网络通信安全的协议,主要用于确保数据的完整性、机密性和身份验证。通过配置IPsec策略,...
IPv6网络多级多域安全策略系统研究
02-22
为了解决IPv6网络基于策略驱动的网络安全问题,构建一个以整体安全策略为核心的下一代网络安全体系,提出了统一管理、分布式控制的多级多域安全策略系统.该系统策略统一配置、各域根据自身安全需求下载安全策略...
国科大网络安全协议.zip
08-23
这份资料包包含了九个章节的PPT讲义(chap-1至chap-9)和一个文本文件(国科大网络安全协议 薛开平.txt),涵盖了网络安全协议的基础理论、IPSec协议以及其他相关主题。 首先,我们要理解网络安全协议的重要性。...
策略高手完全手册高级篇之四:配置策略IPSEC强化网络安全
04-10
策略高手完全手册高级篇之四:配置策略IPSEC强化网络安全
操作系统安全:WINDOWS网络访问控制策略.pptx
06-02
在Windows环境配置IPSec安全策略,首先需要打开“本地安全策略”管理工具,可以通过运行"secpol.msc"命令来访问。然后,管理员可以创建新的IP安全策略,右键点击并选择“创建IP安全策略”。在策略创建过程,可以...
华为设备IPsec简单配置
热门推荐
qq_43432623的博客
12-16 1万+
IPsec VPN是指采用IPsec实现远程接入的一种VPN技术,通过在公网上为两个或多个私有网络之间建立IPsec通道,并通过加密和认证保证通道的安全性。IPsec保护的是点对点之间的通信,通过IPsec VPN可以实现主机和主机之间、主机和网关之间、网关和网关之间建立安全的隧道连接。工作在网络层,主要对网络层的报文进行加密和验证。
网络安全协议之IPSec协议
最新发布
buctwx的博客
03-06 1781
IPSec协议
第25节 IPsec虚拟专网工作原理与配置详解
m0_64378913的博客
02-12 4432
(1)了解加密技术的种类(对称加密算法和非对称加密算法)及这两种加密算法的常用算法; (2)了解VPN技术的作用及分类(分为远程访问VPN及点到点VPN); (3)理解掌握两种IPsecVPN模式(IPsecVPN传输模式及IPsecVPN隧道模式)的工作原理; (4)理解并掌握IPsecVPN的配置步骤,理解各步骤之间是如何起作用的; (5)理解map表组、map表号、ACL表号、策略集之间的关系;
锐捷EG系列路由器WEB界面ipsec设置说明
zelf的专栏
03-17 7408
锐捷的IPSEC分为服务端和客户端,可以支持两端都有公网IP,或其只有一端有公网的IP的场景。 且不论是主模式还是野蛮模式都有服务端和客户端。 设置实例: 1,先设置服务端。 需要注意: 1,服务端为有公网IP的一端,一般为总部或心节心。 2策略名称,无要求。 3,绑定接口,即互联网出口,选择WAN口。 4,本地子网范围,与对端建立通讯的子网,当有多个子网时,一次只能建立一个,需要建立多条IPSEC。 5,预共享密钥,两端都填一样。 IKE策略:根据需要选择,需要至少有一条和
LinuxIPsec的实现--(实例)
weixin_34413103的博客
05-13 2342
LinuxIPsec的实现IPsec-×××:virtual private network--虚拟专用网×××作用:通过公网实现远程连接,将私有网络联系起来×××的类型:1、overlay的×××,例如IPsec-×××2、peer-to-peer的×××,例如MPLS-×××还可以分为二层×××和三层×××IPsec-×××是三层的×××IPsec-×××的分类:1、s...
商业虚拟专用网络技术八IPSec应用场景
weixin_42227328的博客
04-02 4693
在传输模式下,AH安全协议使用原IP报头也就是内网的私有IP地址并在整个验证范围,会导致NAT设备在对私网的源IP地址和目的地址修改为公网地址后,因为经过NAT后改变了Hash值,无法通过验证,完整性检查的失败;ESP安全协议下TCP/UDP的校验和的计算包含IP源目地址,通过nat后,nat修改了最外层IP地址,接收数据路由器检查校验和失败。 在隧道模式下,AH安全协议,同样是完整性检查的失败;ESP安全协议下TCP/UDP的校验和,是使用公网IP目的地址,会成功,但是由于端口是加密的,接收设备无法得知端
Cisco路由器之IPSec 虚拟专用网(包括相关知识点以及配置实例)
cheng198956的专栏
08-15 1246
博文大纲: 一、虚拟专用网相关概念 二、IPSec 虚拟专用网的基本概念 三、ISAKMP/IKE阶段1及阶段2的建立过程 四、IPSec 虚拟专用网的配置实现 五、总结 前言:由于“Virtual Private Network”(请看首字母,就知道是什么咯)是敏\感词汇,所以在博文使用它的文名字“虚拟专用网”来代替。 一、虚拟专用网相关概念。 1、虚拟专用网的定义 虚拟专用...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值