网络安全问题日益严重,不管是在internet,还是在企业内部网络中,这些问题的出现都由于缺乏完善的安全性设计考虑,因为公用网络和内部网络 对于未 授权的监示和访问都是十分敏感的。敏感的数据总在不断地穿行在网络上,仅有基于用户名和密码的保护是不能保护网络上传输的数据,所以网络管理员的重要职责 就是确保数据的安全性。
现网络上常见的网络攻击的常见类型有:
窃听
数据修改
标识伪造(IP 地址伪造)
基于密码的攻击
“拒绝服务”攻击
中间人攻击
泄露密钥攻击
探测器攻击
应用程序层攻击
由于应用程序的多样性,网络上各种应用程序、操作系统都不可避免的存在安全漏洞。windows server 2003使用了内置的安全组件支持公共的安全标准来保证数据传输的安全性,就是IPSec.
关于IPSec的相关概念,我们从:http://www.microsoft.com/china/t … ipsec/ipsecapa.mspx 这里了解。
我们关注的是IPSec能做什么?
我们从这几方面去讨论:
1.禁用协议。
2.关闭端口
3.加密数据
4.身份验证

一.验证禁用协议
环境:2台工作组的机器,可以是2000,xp 2003.
拓朴:

ipsec安全策略基于ICMP的功击非常多,像现时很多国内大形的站点都不允许使用ping了。
我们用IPSec技术看如何禁用ICMP(ping 基于ICMP协议)?
当前环境:

IPSEC安全策略

IPSEC安全策略

通过运行,打开MMC管理控制台,添加管理单元,选择添加IP安全策略管理。

IPSEC安全策略

管理本地IPSec。这时会发现3条内置的IPSec策略。
我通过新建策略来实施,方便我们学习。
注意:任何时刻只能有一条策略在使用,而一条策略可包所多个IP筛选器规则。
1.下面建立一策略。
要做的就是让lab2不能ping通lab1.

IPSEC安全策略

欢迎向导,下一步,策略名称。

IPSEC安全策略

不激活默认响应规则。IPSEC安全策略

完成向导,策略建立完毕,编辑策略。
一条策略可包含多条IP筛选规则。

IPSEC安全策略

2.建立IP筛选规则,去掉使用添加向导,添加IP筛选器。

IPSEC安全策略

A.我不使用原有的筛选器列表,新建一个IP筛选器规则。

ipsec安全策略

设置IP筛选器列表,地址,协议。
因我是不允许别人ping我,所以设置如下:
打上镜像钩的作用是,也不允许我ping别人(下面再验证)。

IPSEC安全策略

ipsec安全策略

B.确定之后,IP筛选器设置完毕,接下来设置针对这个筛选器的操作。

IPSEC安全策略

见到3个内置的操作,我使用我新建的,去掉向导。

IPSEC安全策略

建立筛选器操作。

IPSEC安全策略

IPSEC安全策略

选择建立好的筛选器操作。IPSEC安全策略

C.因使用了阻止,没有协商,就没有身份验证,不指定隧道,连接类型选择所有网络

IPSEC安全策略

IPSEC安全策略

IPSEC安全策略

确定后,一条规则设置完毕。
小结:
一条规则包括要设置的地方有如图,有5个,而且每一个设置里面又有添加向导,这是让使用者觉得难的地方。

IPSEC安全策略

3.指派策略。IPSec策略指派后生效非常快,可以立刻见结果。

IPSEC安全策略

IPSEC安全策略

 

还有一点要注意的是,我做的策略是不允许任何人ping我,我能ping别人吗?
因为ping,是发送4个包,结果是别人返回4个包给我的,发送的包能出去,但回不来了,由策略设置不允许回来。所以看看,lab1上ping lab2。

如果在规则中打上镜像的钩,包是不允许出去了。
结果:

IPSEC安全策略

以上实验就是演示IPSEC策略禁止其它电脑ping 服务器,能很好的防范部分黑客软件对服务器的威胁。因为很多黑客扫描软件扫描之前都是先ping服务器看看是不是能PING通,只有能 ping通之后才继续下一步扫描开放哪些端口。我们也可以按照以上的操作禁止部分端口的通信。

Advertisements