目录
目标
适用范围
如何使用本模块
摘要
必备知识
限制 Web 服务器通信
限制数据库服务器通信
限制服务器到服务器的通信
使用 IPSec 工具
目标
使用本模块可以实现:
使用 IPSec 来限制客户端可以用来连接到 Internet 信息服务 (IIS) Web 服务器的协议和端口。
使用 IPSec 来限制客户端可以用来连接到 SQL Server 的协议和端口。
使用 IPSec 来提供服务器到服务器的身份验证。
适用范围
本模块适用于下列产品和技术:
Microsoft? Windows? 2000 Server 或 Windows Server? 2003 操作系统
SQL Server 2000
如何使用本模块
为了充分理解本模块内容,请:
阅读“IP Security for Windows 2000 Server”,网址为 http://www.microsoft.com/windows2000/techinfo/howitworks/security/ip_security.asp(英文)。它介绍了 IPSec。
摘要
Internet 协议安全 (IPSec) 是一个为基于 IP 的网络通信提供加密、完整性和身份验证服务的协议。由于 IPSec 提供了服务器到服务器的保护,因此您可以使用 IPSec 来抵御对网络的内部威胁,包括窃听、篡改、拦截式攻击、IP 欺骗以及其他基于密码的攻击。IPSec 对于应用程序是完全透明的,因为加密、完整性和身份验证服务都是在传输层实现的。这意味着应用程序可以继续使用 TCP 和 UDP 端口与另一个应用程序相互进行正常的通信。
本模块说明如何使用 IPSec 来限制可以使用哪些协议和端口与服务器通信,以提高 Web 服务器和 SQL Server 的安全性。本模块还说明如何配置 IPSec 以便在两个服务器之间提供身份验证服务。
必备知识
在开始配置 IPSec 之前,应先了解以下内容。
确定协议和端口要求
在创建并应用 IPSec 策略来阻止端口和协议之前,请确保您已知道需要保护哪个通信的安全,包括日常操作所使用的端口和协议。考虑远程管理、应用程序通信和身份验证的协议和端口要求。
IPSec 并不保护所有通信的安全
有几种类型的 IP 通信不会被筛选。有关详细信息,请参阅 Microsoft 知识库文章 253169“Traffic That Can and Cannot Be Secured by IPSec”,网址为:http://support.microsoft.com/default.aspx?scid=253169(英文)。
防火墙和 IPSec
如果防火墙要将两台使用 IPSec 来保护通信通道安全的主机隔离开,防火墙必须打开下面的端口:
TCP 端口 50,用于 IPSec 封装式安全协议 (ESP) 通信
TCP 端口 51,用于 IPSec 身份验证头 (AH) 通信
UDP 端口 500,用于 Internet 密钥交换 (IKE) 协商通信
筛选器、筛选操作和规则
IPSec 策略由一组筛选器、筛选操作和规则组成。
筛选器
“筛选器”用来匹配通信。它包括:
源 IP 地址或地址范围
目标 IP 地址或地址范围
IP 协议,如 TCP、UDP 或“任何协议”
源端口和目标端口(仅用于 TCP 或 UDP)
注意 IP 筛选器列表用于将多个筛选器组合在一起,这样就可以将多个 IP 地址和协议组合成一个筛选器。
筛选操作
“筛选操作”指定在调用给定的筛选器时采取哪些操作。它可以是下面任一操作:
允许。不保护通信;允许发送和接收该通信,不进行干预。
阻止。不允许通信。
协商安全。端点必须就安全方法达成一致,然后使用一种方法进行通信。如果它们无法就安全方法达成一致,则不能进行通信。如果协商失败,可以指定是允许非安全通信,还是应阻止所有通信。
规则
“规则”由 IPSec 策略来定义,它将筛选器与筛选操作关联在一起。
限制 Web 服务器通信
下面的示例说明如何使用 IPSec 来限制与 Web 服务器的端口 80(用于 HTTP 通信)和端口 443(用于使用 SSL 的 HTTPS 通信)进行通信。这是对面向 Internet 的 Web 服务器的一个共同要求。
注意 应用下面的步骤之后,通信将仅限于端口 80 和 443。在现实世界环境中,需要进行另外的通信,如远程管理、数据库访问和身份验证所需要的通信。在产品环境中,完整的 IPSec 策略将包括所有经过授权的通信。
创建筛选操作
1. 启动“本地安全策略” Microsoft 管理控制台 (MMC) 管理单元。
2. 右键单击“IP 安全策略,在本地机器”,然后单击“管理 IP 筛选器列表和筛选操作”。
3. 单击“管理筛选操作”选项卡。
4. 单击“添加”创建一个新的筛选操作,然后单击“下一步”,跳过介绍性向导对话框。
5. 输入“MyPermit”作为新筛选操作的名称。该筛选操作用于允许通信。
6. 单击“下一步”。
7. 选择“允许”,单击“下一步”,然后单击“完成”。
8. 重复步骤 4 至 8,创建另一个称为“MyBlock”的筛选操作。这一次,当“筛选操作”对话框提示您的时候,选择“阻止”。
9. 单击“关闭”,关闭“管理 IP 筛选器列表和筛选操作”对话框。
创建 IP 筛选器和筛选器列表
1. 右键单击“IP 安全策略,在本地机器”,然后单击“管理 IP 筛选器列表和筛选操作”。
2. 单击“添加”以添加一个新的 IP 筛选器列表,然后输入“MatchAllTraffic”作为筛选器列表名称。
3. 单击“添加”以创建一个新的筛选器,然后通过选择默认选项继续完成“IP 筛选器向导”对话框。
该操作将创建一个匹配所有通信的筛选器。
4. 单击“关闭”以关闭“IP 筛选器列表”对话框。
5. 单击“添加”以创建一个新的 IP 筛选器列表,然后输入“MatchHTTPAndHTTPS”作为筛选器列表名称。
6. 单击“添加”,然后单击“下一步”跳过简介向导对话框。
7. 从“源地址”下拉列表中选择“任何 IP 地址”,然后单击“下一步”。
8. 从“目标地址”下拉列表中选择“我的 IP 地址”,然后单击“下一步”。
9. 从“选择协议类型”下拉列表中选择“TCP”,然后单击“下一步”。
10. 选择“到此端口”,然后指定端口 80。
11. 单击“下一步”,然后单击“完成”。
12. 单击“添加”,然后重复步骤 9 至 14,创建另一个允许通过端口 443 进行通信的筛选器。
使用下面的值创建一个允许通过端口 443 进行 TCP 通信的筛选器:
源地址:任何 IP 地址
目标地址:我的 IP 地址
协议:TCP
从端口:任何
到端口: 443
完成这些步骤后,您的“IP 筛选器列表”应当如同图 1 所示。
图 1
“IP 筛选器列表”对话框
创建筛选操作和筛选器列表之后,需要创建一个策略和两个规则,以便将筛选器与筛选操作关联起来。
创建并应用 IPSec 策略
1. 在“本地安全策略”管理单元的主窗口中,右键单击“IP 安全策略,在本地机器”,然后单击“创建 IP 安全策略”。
2. 单击“下一步”跳过最初的向导对话框。
3. 输入“MyPolicy”作为 IPSec 策略名称,输入“Web 服务器的 IPSec 策略,该服务器接受任何一方与其 TCP/80 和 TCP/443 端口的通信”作为说明,然后单击“下一步”。
4. 清除“激活默认响应规则”复选框,单击“下一步”,然后单击“完成”。
显示“MyPolicy 属性”对话框,这样您就可以编辑策略属性。
5. 单击“添加”以启动“安全规则向导”,然后单击“下一步”跳过简介对话框。
6. 选择“此规则不指定隧道”,然后单击“下一步”。
7. 选择“所有网络连接”,然后单击“下一步”。
8. 选择“Windows 2000 默认值 (Kerberos V5 协议)”,然后单击“下一步”。
9. 选择“MatchHTTPAndHTTPS”筛选器列表,然后单击“下一步”。
10. 选择“MyPermit”筛选操作,单击“下一步”,然后单击“完成”。
11. 重复步骤 5 至 10,创建另一个规则。选择“MatchAllTraffic”和“MyBlock”,而不是选择“MatchHTTPAndHTTPS”和“MyPermit”。
创建第二个规则后,“MyPolicy 属性”对话框应如图 2 中所示。
图 2
“MyPolicy 属性”对话框
