Windows 2003安全之强化堡垒主机(13)

　　使用IPSec过滤器阻断端口

　　IPSec 过滤器可为增强服务器所需要的安全级别提供有效的方法。本指南推荐在其定义的高安全性环境中使用该选项，以便进一步减少服务器的攻击表面。

　　要了解关于IPSec过滤器使用的更多信息，请参看第11章，“其它服务器的强化程序”，“威胁与对策：Windows Server 2003和Windows XP中的安全性设置 ”。

　　下表列举了在本指南定义的高安全性环境下，可以在SMTP堡垒主机上创建的IPSec过滤器。

　　表11.20：SMTP堡垒主机IPSec网络流量图

　　在执行时上表所列举的规则时，应当对其进行镜像处理。这样可以保证任何进入服务器的网络流量也可以返回到源服务器。

　　上表表明，服务器要想完成特定角色的功能而应当打开的基本端口。如果服务器拥有一个静态IP地址，这些端口已经足够了。

　　警告：这些IPSec过滤器施加的限制非常严格，并且大大降低了服务器的可管理性。您需要打开额外的端口来实施监视、补丁管理和软件更新功能。

　　IPSec策略的实施对服务器的性能将不会有显著的影响。但是，在实施这些过滤器前还是应该进行测试，以验证服务器仍然可以维持必要的功能和性能。您可能还需要增加一些附加的规则来支持其它应用程序。

　　该指南中包括一个.cmd文件，它简化了依照指南要求为域控制器创建IPSec过滤器的过程。PacketFilters-SMTPBastionHost.cmd文件使用NETSH命令来创建相应的过滤器。

　　此脚本不会创建永久性的过滤器。因此，服务器不会受到保护，除非IPSec策略代理被启动。关于创建永久性过滤器或创建更高级IPSec过滤器脚本的更多信息，请参看本指南的姐妹篇“威胁与对策：Windows Server 2003和Windows XP中的安全性设置”中的第11章“其它成员服务器的强化程序”。最后，该脚本被配置为不分配其创建的IPSec策略。IP安全性策略管理单元可用来检查所创建的IPSec过滤器，并且分配IPSec策略以便让其生效。

　　总结

　　堡垒主机服务器高度暴露在外界攻击之中。您必须尽可能的保证它们的安全，在将其可用性发挥至最大的同时，将堡垒主机服务器面临的安全威胁降至最低。最安全的堡垒主机服务器只允许高度信任的账号访问，并仅仅启用能够正常行使其功能所需的最少的服务。

　　本章对用来保护堡垒主机服务器安全的强化安全设置和措施进行了解释。大多数的设置可通过本地组策略进行应用。我们也介绍了手动配置和应用安全设置的步骤。

　　我们还详细介绍了创建和应用能够控制堡垒主机服务器间网络通信类型的IPSec过滤器具体过程。根据企业环境中堡垒主机服务器所扮演的角色，这些过滤器可以被修改，以阻止特定类型的网络流量。