如果問網絡管理員如何有效的保障服務器和網絡安全的話,恐怕有百分之九十的人會回答——更新補丁,在本地計算機安裝防火牆。確實如此,這兩個措施是最有效提高安全的方法,對於更新補丁我們只需要把windows操作系統自帶的自動更新功能啟用即可,相應的在本地計算機安裝防火牆並配置合適的安全策略則變得有些難度。瑞星,江民等國內防火牆防護效果欠佳,而國外的norton和卡巴斯基等又占用過多的系統資源。如何選擇一款適合自己的防火牆變成一件困難的事。也許有人聽說過windows系統在XP SP2和WINDOWS 2003中內置了一個防火牆,但是該防火牆功能略顯不足。而今天筆者要為各位IT168讀者介紹的也是windows系統中存在的可提供給我們免費使用的防火牆,他不同於往常我們所說的那個內置防火牆,但是他卻可以提供更好的安全策略。他就是本文介紹的主角——ipsec。一、IPSEC基本概念:IPSEC在建立VPN過程中使用頻率比較高,然而很多人都忽略了其包含的一個小組件——IP FILTER。IP Filter,是包含於IP Security(IPSec)中的,是Windows 2K以後新加入的技術。工作原理很簡單,當接收到一個IP數據包時,ip filter使用其頭部在一個規則表中進行匹配。當找到一個相匹配的規則時,ip filter就按照該規則制定的方法對接收到的IP數據包進行處理。 這裡的處理工作只有兩種:丟棄或轉發。如上所說,ip filter只是IPSec的一部分功能而已。對於不在domain中的個人用戶,IPSec的數據加密是用不到的。所以本文主要是介紹如何用IP Filter構建防火牆,實現常用防火牆的部分功能。二、用IP Filter當防火牆的准備工作:由於IP Filter屬於IPSec的一部分,所以在使用及配置IP Filter前需要保證IPSEC服務的正常運行。我們可以通過任務欄的“開始->運行”,輸入services.msc進入服務設置窗口。在服務設置窗口中找到名為ipsec services的服務,,保證他是“啟動”的。(如圖1)如果該服務沒有啟動,我們需要雙擊其名稱,點“啟動”按鈕手動啟動該服務,然後還需要把其啟動方式設置為“自動”,這樣才能保證下面設置好的IP Filter防火牆過濾信息可以隨系統啟動而啟動,從而保證對數據包的過濾功能生效。(如圖2) 圖1 點擊看大圖 圖2小提示:如果你在服務名稱中沒有找到ipsec services服務也不要著急,該項服務可以在Windows 2000全系列/XP Pro/.Net Server中找到,而在XP HOME中是不支持該功能的。所以說沒有找到該服務是因為你的系統不合乎要求,只能放棄了。三、配置IP Filter:有過配置防火牆或者過濾策略的讀者在配置IP FILTER上也是非常容易上手的。配置策略和訪問控制列表以及過濾規則是一樣的。我們通過MMC加載IPSEC模塊來實施此功能。第一步:通過任務欄的“開始->運行”輸入MMC,啟動管理單元控制台窗口。(如圖3) 圖3 點擊看大圖第二步:默認情況下只有“控制台根節點”一個選項。我們通過主菜單的“文件->添加/刪除管理單元”來加載IPSEC模塊。(如圖4) (點擊查看原圖)圖4第三步:在出現的添加/刪除管理單元窗口中我們點“添加”按鈕。(如圖5) 圖5第四步:在添加獨立管理單元選項中找到“IP安全策略管理”,點“添加”按鈕進行添加。(如圖6) 圖6第五步:系統會要求你選擇的這個管理單元要管理的計算機是哪個或者域是哪個。由於我們是對本地計算機操作,所以選上“本地計算機”後點“完成”按鈕。(如圖7) 圖7第六步:添加後我們會在控制台窗口的“控制台根節點”下看到“IP安全策略,在本地計算機”的項目。(如圖8) 圖8 點擊看大圖第七步:在“IP安全策略,在本地計算機”上點鼠標右鍵選擇“管理IP篩選器表和篩選器操作”開始配置我們的防火牆策略。(如圖9) 圖9 點擊看大圖小提示:實際上我們不僅可以通過MMC加載根節點控制台的方法使用IPSEC模塊,在任務欄的“開始->運行”輸入secpol.msc,在打開的窗口中可以直接選擇“管理IP篩選器表和篩選器操作”。這種方法更加簡單快捷。第八步:在彈出的“管理IP篩選器表和篩選器操作”設置窗口中默認情況下有兩項,一個是對所有ICMP通訊量進行過濾的,另一個是對所有IP通訊量進行過濾的。我們可以通過“添加”按鈕加新的規則。(如圖10)
圖10 點擊看大圖第九步:系統會自動生成一個名為“新IP篩選器列表”的規則,我們在該窗口中點“添加”按鈕繼續加一個具體的過濾項。(如圖11) 圖11 點擊看大圖第十步:系統將自動啟動IP篩選器向導。(如圖12) 圖12
第十一步:首先我們指定IP通訊的源地址,類似於規則中的源地址。可供我們選擇的有“一個特定的IP子網絡”(一個區域包括網絡號和子網掩碼),“一個特定的IP地址”(一個地址),“一個特定的DNS名稱”(對域名進行過濾,即使他的IP是變化的),“任何IP地址”(所有IP地址),“我的IP地址”(本機IP地址)。設置完後點“下一步”繼續。(如圖13) 圖13第十二步:接著指定IP通訊的目的地址,類似於規則中的目的地址。可供我們選擇的有“一個特定的IP子網絡”(一個區域包括網絡號和子網掩碼),“一個特定的IP地址”(一個地址),“一個特定的DNS名稱”(對域名進行過濾,即使他的IP是變化的),“任何IP地址”(所有IP地址),“我的IP地址”(本機IP地址)。設置完後點“下一步”繼續。(如圖14) 圖14第十三步:當我們想對某個域名進行過濾的時候,可以在目的地址處選擇“一個特定的DNS名稱”,然後在主機名處輸入對應的域名。例如我們sohu.com。(如圖15) 圖15第十四步:由於sohu.com對應的是很多的IP地址,而且是動態的IP地址。因此系統會首先查看本地DNS緩存,讀取緩存中對應的IP地址進行過濾。(如圖16)圖16第十五步:選擇通訊協議類型,包括我們常用的TCP和UDP,還可以設置為任意。(如圖17) 圖17第十六步:完成IP篩選器建立向導,點“完成”按鈕結束此操作。(如圖18) 圖18第十七步:我們會在剛剛見過的IP篩選器列表窗口中看到添加的規則。由於這些規則都是在同一個篩選器中,所以規則可以同時生效。(如圖19) 圖19第十八步:點“添加”和“關閉”按鈕保存之前的設置,我們會在“IP篩選器列表”中看到新建立的名為“新IP篩選器列表”的篩選器。(如圖20) 圖20小提示:默認情況下,IP Filter的作用是單方面的,比如Source: A, Destination: B,則防火牆只對A->B的流量起作用,對B->A的流量則略過不計。選中Mirror,則防火牆對A<->B的雙向流量都進行處理(相當於一次添加了兩條規則)。這時我們在通過本機訪問sohu.com網站時就會收到失敗的回應消息。當然本次只是介紹簡單過濾規則的建立方法,在實際使用中明確過濾的源地址,目的地址,使用協議後都可以使用此方法結合IPSEC中的IP Filter達到防火牆過濾非法數據包的功能。四、IP Filter高級技巧:(1)備份設置的過濾規則:如果我們已經建立了很多條過濾規則如何將其保存以備後用或者其他計算機使用呢?實際上操作起來很簡單,在“IP安全策略,在本地計算機”上點鼠標右鍵選擇“所有任務”下的“導出策略”即可。當我們到其他計算機上使用“所有任務”下的“導入策略”可以實現多台計算機快速使用同一個策略的功能。(如圖21) 圖21 點擊看大圖(2)單防火牆也要多策略:可能有的讀者使用的是筆記本,經常在家中和公司場合交替使用,如何讓IP Filter單過濾系統擁有多策略呢?也就是說在家中使用一套過濾方案,在公司使用另一套過濾方案。方法很簡單我們按照上面說的步驟在“IP篩選器列表”中建立多個篩選器即可,依次起名“公司IPSEC設置”與“家裡IPSEC設置”。這樣在不同場所使用不同過濾列表即可。(如圖22)
圖22(3)快速還原初始設置:IP Filter有一個默認設置,當我們為IP Filter添加了這樣或那樣的過濾規則後發現網絡無法使用了,這說明我們添加規則的時候出現了問題。如何快速解決此問題呢?一個一個的刪除過濾規則是可以的,但是太麻煩了。我們完全可以通過IP Filter中的“恢復默認設置”來完成。方法是在IP安全策略,在本地計算機”上點鼠標右鍵選擇“所有任務”下的“還原默認策略”即可。這樣我們設置的所有策略都將被清空。(如圖23) 圖23 點擊看大圖總結:可能有的讀者會問到IPSec中的IP Filter有什麼優勢呢?實際上還有一個利用IP Filter的方法,桌面上右擊網上鄰居->屬性->右擊任意一塊網卡->屬性->TCP/IP->高級->選項->TCP/IP過濾,這裡有三個過濾器,分別為:TCP端口、UDP端口和IP協議。但是這裡的過濾處理感覺比較簡單,適合純粹的服務器應用,而且不能屏蔽IP地址,功能不如前面所述。 另外IPSec中的IP Filter,並不能對ICMP進行很好的處理(無法過濾/保留特定內容),如果對這方面有要求,可以使用Routing&Remote Access來處理(該組件在Server以上版本才有)。