如何利用IP安全管理策略进行安全漏洞防护
何谓“IP 安全管理策略”?
Windows Internet 协议安全 (IPSec),这是一种用来保护内部网、专用网络、外部网 (Internet、Extranet) 免遭攻击的重要防御方法。
IPSec 用来对两台计算机之间传输的数据进行加密,防止在网上看到它的人对它进行更改和破译。管理员必须首先定义两台计算机相互信任的方式,然后指定这两台计算机保证它们之间通信安全的方式。
通信主体机器必须开通 IPSEC Policy Agent(PolicyAgent)服务。
一台机器同一时刻仅能够指派一个安全策略。
一个IP安全策略可以指定多个IP规则。
IP筛选器
IP筛选器是对IP访问数据传输的安全需求描述。一般指定IP的源和目标,包含端口、协议类型等的定义。制定了IP筛选器,即表明要对特定的(符合筛选器描述)IP流量进行特殊控制。
IP筛选器列表
一组(一个或多个)IP筛选器构成IP筛选器列表
IP安全规则
对IP筛选器列表的访问控制设定为制定IP安全规则。
IP规则包括:
IP筛选器列表
筛选器操作
身份验证方法
连接类型
隧道方法
筛选器的操作通常有:
请求安全设置
如果筛选器操作选择此项,那么通信时:
接受没有加密的通讯,但采用IPSec请求客户端建立信任和安全方法。如果客户端没有响应请求,会与不受信任的客户端进行不加密的通讯。
要求安全设置
接受没有加密的通讯,但总是要求客户端建立信任和安全方法。不与不受信任的客户端通讯。
允许
允许没有安全措施的 IP 数据包通过。也就是没有采用IPSec任何过滤措施。
解读:
如果
下面考虑如何利用IP安全策略来提高服务器安全。
考虑一台没有配备任何防火墙/反黑软件的web服务器,开了ftp服务,我们想将此服务器的80、21以外的端口关闭,但是开放的端口需要授权才可连接。
授权分为2步:
1、 首先是IPSec服务需要可用,需要启动IPSec的服务
2、 屏蔽掉无关端口,开80 21 20(ftp 可能需要20端口),通过网卡TCP/IP属性的高级选项进入
3、 准备IP筛选器,建立任何IP到本服务器的20 21端口的连接筛选,构成一个IP筛选器,取名为“ftp IP筛选”
4、 建立新的“IP安全策略”,取名为“仅开FTP的安全策略”
5、 选择使用预先设定的密码,输入“CBIQ”或其他密码
6、 然后添加 IP安全规则,也选择预先设定的密码
7、 选择“要求安全设置”,以让ftp端口的通信采用密码进行
8、 保存
9、 如果其他端口也需要密码,也如此进行
10、 指派 “仅开FTP的安全策略”的安全策略
客户端,也需要进行到特定服务器的通信筛选器,指派后即可连接。
需要注意的是,FTP有PSAV和非PSAV模式,需要对server同客户端同步设定。
