科技行者

行者学院 转型私董会 科技行者专题报道 网红大战科技行者

知识库

知识库 安全导航

至顶网网络频道精心配置TCP/IP筛选与IPSec 稳固系统安全

精心配置TCP/IP筛选与IPSec 稳固系统安全

  • 扫一扫
    分享文章到微信

  • 扫一扫
    关注官方公众号
    至顶头条

TCP/IP筛选只是开胃菜,IPSec策略是红酒,防火墙是面包,防火墙是主菜(硬件级的),一样也不能少,都要做好设定。

作者:赛迪网安全社区 2007年10月4日

关键字: TCP/IP IPSEC IP协议 系统安全

  • 评论
  • 分享微博
  • 分享邮件

 配置TCP/IP筛选 1.单击开始,指向设置,单击控制面板,然后双击网络和拨号连接;

 2.右键单击要在其上配置入站访问控制的接口,然后单击属性;

3.在选定的组件被这个连接所使用框中,单击Internet协议(TCP/IP),然后单击属性;

4.在Internet协议(TCP/IP)属性对话框中,单击高级;

5.单击选项选项卡;

6.单击TCP/IP筛选,然后单击属性;

7.选中启用TCP/IP筛选(所有适配器)复选框。选中此复选框后,将对所有适配器启用筛选,但您要逐个为适配器配置筛选器。同一筛选器并不适用于所有适配器;

8.该窗口中一共有三列,分别标记为:

TCP端口

UDP端口

IP协议在每一列中,都必须选择下面的某个选项:

全部允许:如果要允许TCP或UDP通信的所有数据包,请保留全部允许处于选中状态。

仅允许:如果只允许选定的TCP或UDP通信,请单击仅允许,再单击添加,然后在添加筛选器对话框中键入相应的端口。

如果要阻止所有UDP或TCP流量,请单击仅允许,但不要在UDP端口或TCP端口列中添加任何端口号。如果您为IP协议选中了仅允许并排除了IP协议6和17,并不能阻止UDP或TCP通信。

请注意,即使在IP协议列中选择了仅允许而且不添加IP协议1,也无法阻止ICMP消息。

“TCP/IP筛选”只能筛选入站流量。此功能不影响出站流量,也不影响为接受来自出站请求的响应而创建的响应端口。如果需要更好地控制出站访问,请使用IPSec策略或数据包筛选。

以下是关于IPSec策略的官方说明

Internet协议安全(IPSec)循序渐进指南

在进行IPSec完整性配置时,有两个选项:MessageDigest5(MD5)和安全散列算法1(SecureHashAlgorithm1,简称SHA1)。后者的安全度更高,但需要更多的CPU资源,MD5使用128位散列算法,而SHA1使用的160位算法。

IPsec认证协议

当两个系统互相交换加密数据之前,需要相互对加密的数据包进行安全认定。这个安全认定成为安全协定(securityassociation,简称SA)。

在相互通信之前,两个系统必须认定对同一SA。

因特网密钥交换协议(InternetKeyExchange,简称IKE)管理着用于IPSec连接的SA协议过程。IKE是因特网工程任务组(InternetEngineeringTaskForce,简称IETF)制定的关于安全协议和密钥交换的标准方法。IKE的操作分两阶段:第一阶段确保通信信道的安全,第二阶段约定SA的操作。

为了建立IPSec通信,两台主机在SA协定之前必须互相认证,有三种认证方法:

Kerberos-Kerberosv5常用于WindowsServer2003,是其缺省认证方式。Kerberos能在域内进行安全协议认证,使用时,它既对用户的身份也对网络服务进行验证。Kerberos的优点是可以在用户和服务器之间相互认证,也具有互操作性。Kerberos可以在Server2003的域和使用Kerberos认证的UNix环境系统之间提供认证服务。

公钥证书(PKI)-PKI用来对非受信域的成员,非Windows客户,或者没有运行Kerberosv5认证协议的计算机进行认证,认证证书由一个作为证书机关(CA)系统签署。

预先共享密钥-在预先共享密钥认证中,计算机系统必须认同在IPSec策略中使用的一个共享密钥,使用预先共享密钥仅当证书和Kerberos无法配置的场合。

    • 评论
    • 分享微博
    • 分享邮件
    邮件订阅

    如果您非常迫切的想了解IT领域最新产品与技术信息,那么订阅至顶网技术邮件将是您的最佳途径之一。

    重磅专题
    往期文章
    最新文章