如何配置 TCP/IP 安全,以下是以2000為准,XP和2K3同樣,下面一起跟著小編為大家閱讀。
配置 TCP/IP 安全:
1. 單擊開始,指向設置,單擊控制面板,然後雙擊網絡和撥號連接。
2. 右鍵單擊要在其上配置入站訪問控制的接口,然後單擊屬性。
3. 在選定的組件被這個連接所使用框中,單擊 Internet 協議 (TCP/IP),然後單擊屬性。
4. 在 Internet 協議 (TCP/IP) 屬性對話框中,單擊高級。
5. 單擊選項選項卡。
6. 單擊 TCP/IP 篩選,然後單擊屬性。
7. 選中啟用 TCP/IP 篩選(所有適配器)復選框。選中此復選框後,將對所有適配器啟用篩選,但您要逐個為適配器配置篩選器。同一篩選器並不適用於所有適配器。
8. 該窗口中一共有三列,分別標記為:
TCP 端口
UDP 端口
IP 協議在每一列中,都必須選擇下面的某個選項:
全部允許。如果要允許 TCP 或 UDP 通信的所有數據包,請保留全部允許處於選中狀態。
僅允許。如果只允許選定的 TCP 或 UDP 通信,請單擊僅允許,再單擊添加,然後在添加篩選器對話框中鍵入相應的端口。
如果要阻止所有 UDP 或 TCP 流量,請單擊僅允許,但不要在 UDP 端口或 TCP 端口列中添加任何端口號。如果您為 IP 協議選中了僅允許並排除了 IP 協議 6 和 17,並不能阻止 UDP 或 TCP 通信。
請注意,即使在 IP 協議列中選擇了僅允許而且不添加 IP 協議 1,也無法阻止 ICMP 消息。
“TCP/IP 篩選”只能篩選入站流量。此功能不影響出站流量,也不影響為接受來自出站請求的響應而創建的響應端口。如果需要更好地控制出站訪問,請使用 IPSec 策略或數據包篩選。
在進行IPSec完整性配置時,有兩個選項 :Message Digest 5 (MD5)和安全散列算法1(Secure Hash Algorithm 1 ,簡稱SHA1)。後者的安全度更高,但需要更多的 CPU資源,MD5使用128位散列算法,而SHA1使用的160位算法。
IPsec 認證協議
當兩個系統互相交換加密數據之前,需要相互對加密的數據包進行安全認定。這個安全認定成為安全協定(security association,簡稱SA)。在相互通信之前,兩個系統必須認定對同一SA。
因特網密鑰交換協議(Internet Key Exchange,簡稱IKE)管理著用於IPSec連接的 SA協議過程。IKE是因特網工程任務組(Internet Engineering Task Force,簡稱IETF)制定的關於安全協議和密鑰交換的標准方法。IKE的操作分兩階段:第一階段確保通信信道的安全,第二階段約定SA的操作。
為了建立IPSec通信,兩台主機在SA協定之前必須互相認證,有三種認證方法:
Kerberos - Kerberos v5常用於Windows Server 2003,是其缺省認證方式。 Kerberos能在域內進行安全協議認證,使用時,它既對用戶的身份也對網絡服務進行驗證。Kerberos的優點是可以在用戶和服務器之間相互認證,也具有互操作性。Kerberos可以在 Server 2003的域和使用Kerberos 認證的UNix環境系統之間提供認證服務。
公鑰證書 (PKI) - PKI用來對非受信域的成員,非Windows客戶,或者沒有運行Kerberos v5 認證協議的計算機進行認證,認證證書由一個作為證書機關(CA)系統簽署。
預先共享密鑰 -在預先共享密鑰認證中,計算機系統必須認同在IPSec策略中使用的一個共享密鑰 ,使用預先共享密鑰僅當證書和Kerberos無法配置的場合。
IPSec加密協議
IPSec提供三種主要加密方法,如下
數據加密標准 (DES 40位) - 該加密方法性能最好,但安全性較低。該 40位數據加密標准(Data Encryption Standard,簡稱DES)通常被稱為 安全套接字層(Secure Sockets Layer,簡稱SSL)。適用於數據安全性要求較低的場合。
數據加密標准 (DES 56位) - 通過IPSec策略,可以使用56位 DES的加密方法。1977年美國國家標准局公布了DES算法,它可以在通信過程中經常生成密鑰。該功能可防止因為一個DES密鑰被破譯而整個數據集的安全受到影響。但是在商業中被認為過時了,僅用於傳統的應用支持,有專門的硬件可以破譯標准的 56位密鑰。
3DES - IPSec策略可以選擇一個強大的加密算法3DES,其安全性比DES更高。3DES也使用了56位密鑰,但使用了三個。結果3DES成為 168位加密算法,用於諸如美國政府這樣的高機密的環境中。采用該策略的所有計算機將都遵守這樣的機制。
IPSec傳輸模式
IPSec可以在兩種不同的模式下運作:傳輸模式和隧道模式。這些模式指的是數據在網絡中是如何發送和加密的。在傳輸模式下,IPSec的保護貫穿全程:從源頭到目的地,被稱為提供終端到終端的傳輸安全性 。
隧道模式僅僅在隧道點或者網關之間加密數據。隧道模式提供了網關到網關的傳輸安全性。當數據在客戶和服務器之間傳輸時,僅當數據到達網關時才得到加密,其余路徑不受保護。一旦到達網關,就采用IPSec進行加密,等到達目的網關之後,數據包被解密和驗證,之後數據發送到不受保護的目的主機。隧道模式通常適用於數據必須離開安全的LAN或者WAN的范圍,且在諸如互聯網這樣的公共網絡中傳輸的場合。
我看了幾個朋友的服務器配置,每一個人都使用的是TCP/IP篩選對網站的訪問端口進行設定,這到沒什麼關系,但對IPSec 策略最多也只設定封一下ICMP,別的都沒設定,出於安全考慮,這樣做不是很好,因為...
TCP/IP篩選只可只設定客戶端通過幾個固定的TCP或UDP端口進行對服務器的訪問,或限定IP訪問,每增加一次就要重啟服務器一次,只能適合比較小型訪問,原來我為了讓Serv_u能進行正常訪問,加了N個端口,累的要死(因為FTP軟件連接到FTP服務器的話,會隨機使用一些端口,因為設定問題,就看不到目錄了)...現在想起來也好笑.
IPSec 策略可設定即時生效,不用重啟服務器,可對端口或IP進行封鎖或訪問,可拒絕一些不安全端口的訪問,也可像TCP/IP篩選一樣只設定客戶端通過幾個固定的TCP或UDP端口進行對服務器的訪問,可選擇性要大很多,其中的許可比拒絕優先,這樣就可以設定優先通過某一些特定的IP,也可設定某個IP只能訪問某個端口之類的,只要你有想像力,哈哈,就很簡單了,這裡我寫的都是一些知識,沒有寫操作步驟,因為操作很簡單,只要說一下原理,懂原理比操作更快
如安全方面的話,TCP/IP篩選會在注冊表中的
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\Tcpip\Parameters
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Services\Tcpip\Parameters
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet003\Services\Tcpip\Parameters
中的EnableSecurityFilters值上設定,當為"EnableSecurityFilters"=dword:00000001,即TCP/IP篩選生效,當為"EnableSecurityFilters"=dword:00000000,即TCP/IP篩選失效,這樣就給我們一個漏洞了,用regedit -e導出以上三個鍵值,把EnableSecurityFilters值改成dword:00000000,regedit -s,嘻嘻,你設的再多也等於零。
IPSec 策略就沒有這個安全隱患,上面還有IPSec 策略的一些加密說明,安全吧??!!而且IP策略可以備份為文件方便在不同的電腦上使用,不過2K和XP或2K3使用的不同,這點到是要注意一下。
以上就是學習啦帶給大家不一樣的精彩。想要了解更多精彩的朋友可以持續關注學習啦,我們將會為你奉上最全最新鮮的內容哦! 學習啦,因你而精彩。