精心配置TCP/IP筛选与IPSec 稳固系统安全

IPsec认证协议

当两个系统互相交换加密数据之前，需要相互对加密的数据包进行安全认定。这个安全认定成为安全协定(securityassociation，简称SA)。

在相互通信之前，两个系统必须认定对同一SA。

因特网密钥交换协议(InternetKeyExchange，简称IKE)管理着用于IPSec连接的SA协议过程。IKE是因特网工程任务组(InternetEngineeringTaskForce，简称IETF)制定的关于安全协议和密钥交换的标准方法。IKE的操作分两阶段：第一阶段确保通信信道的安全，第二阶段约定SA的操作。

为了建立IPSec通信，两台主机在SA协定之前必须互相认证，有三种认证方法：

Kerberos-Kerberosv5常用于WindowsServer2003，是其缺省认证方式。Kerberos能在域内进行安全协议认证，使用时，它既对用户的身份也对网络服务进行验证。Kerberos的优点是可以在用户和服务器之间相互认证，也具有互操作性。Kerberos可以在Server2003的域和使用Kerberos认证的UNix环境系统之间提供认证服务。

公钥证书(PKI)-PKI用来对非受信域的成员，非Windows客户，或者没有运行Kerberosv5认证协议的计算机进行认证，认证证书由一个作为证书机关(CA)系统签署。

预先共享密钥-在预先共享密钥认证中，计算机系统必须认同在IPSec策略中使用的一个共享密钥，使用预先共享密钥仅当证书和Kerberos无法配置的场合。

IPSec加密协议

IPSec提供三种主要加密方法，如下。

数据加密标准(DES40位)-该加密方法性能最好，但安全性较低。该40位数据加密标准(DataEncryptionStandard，简称DES)通常被称为安全套接字层(SecureSocketsLayer，简称SSL)。适用于数据安全性要求较低的场合。

数据加密标准(DES56位)-通过IPSec策略，可以使用56位DES的加密方法。1977年美国国家标准局公布了DES算法，它可以在通信过程中经常生成密钥。该功能可防止因为一个DES密钥被破译而整个数据集的安全受到影响。但是在商业中被认为过时了，仅用于传统的应用支持，有专门的硬件可以破译标准的56位密钥。

3DES-IPSec策略可以选择一个强大的加密算法3DES，其安全性比DES更高。3DES也使用了56位密钥，但使用了三个。结果3DES成为168位加密算法，用于诸如美国政府这样的高机密的环境中。采用该策略的所有计算机将都遵守这样的机制。

IPSec传输模式

IPSec可以在两种不同的模式下运作：传输模式和隧道模式。这些模式指的是数据在网络中是如何发送和加密的。在传输模式下，IPSec的保护贯穿全程：从源头到目的地，被称为提供终端到终端的传输安全性。

隧道模式仅仅在隧道点或者网关之间加密数据。隧道模式提供了网关到网关的传输安全性。当数据在客户和服务器之间传输时，仅当数据到达网关时才得到加密，其余路径不受保护。一旦到达网关，就采用IPSec进行加密，等到达目的网关之后，数据包被解密和验证，之后数据发送到不受保护的目的主机。隧道模式通常适用于数据必须离开安全的LAN或者WAN的范围，且在诸如互联网这样的公共网络中传输的场合。

我看了几个朋友的服务器配置，每一个人都使用的是TCP/IP筛选对网站的访问端口进行设定，这到没什么关系，但对IPSec策略最多也只设定封一下ICMP，别的都没设定，出于安全考虑，这样做不是很好。

我来做个比较，TCP/IP筛选只可只设定客户端通过几个固定的TCP或UDP端口进行对服务器的访问，或限定IP访问，每增加一次就要重启服务器一次，只能适合比较小型访问，原来我为了让Serv_u能进行正常访问，加了N个端口，累的要死(因为FTP软件连接到FTP服务器的话，会随机使用一些端口，因为设定问题，就看不到目录了)。

IPSec策略可设定即时生效，不用重启服务器，可对端口或IP进行封锁或访问，可拒绝一些不安全端口的访问，也可像TCP/IP筛选一样只设定客户端通过几个固定的TCP或UDP端口进行对服务器的访问，可选择性要大很多，其中的许可比拒绝优先，这样就可以设定优先通过某一些特定的IP，也可设定某个IP只能访问某个端口之类的，只要你有想像力，哈哈，就很简单了，这里我写的都是一些知识，没有写操作步骤，因为操作很简单，只要说一下原理，懂原理比操作更快如安全方面的话，TCP/IP筛选会在注册表中的：

HKEY_LOCAL_MACHINE/SYSTEM/ControlSet001/Services/Tcpip/Parameters
HKEY_LOCAL_MACHINE/SYSTEM/ControlSet002/Services/Tcpip/Parameters
HKEY_LOCAL_MACHINE/SYSTEM/ControlSet003/Services/Tcpip/Parameters

说明一下，这些设定只是针对端口或IP进行管理的，没什么很高深的东西，而且有一些功能是无法进行设定的，但这是WEB服务器的第一道关口，如果不设置好的话，后面很容易出问题的，我刚给出的只是一个例子，破TCP/IP筛选有几种方法，这里就不好说明了，总结一下，TCP/IP筛选只是开胃菜，IPSec策略是红酒，防火墙是面包，防火墙是主菜(硬件级的)，一样也不能少，都要做好设定。