首页 > 代码库 > 网络安全系列之二十一 配置IPSEC安全策略

网络安全系列之二十一 配置IPSEC安全策略

1、了解IPSec安全策略

IPSec,Internet协议安全,是网络安全业内的一种开放标准,通过使用加密安全服务以确保网络通信的保密性和安全性。IPSec工作在网络层,对用户和应用程序是透明的,它可以提供对服务器的受限制的访问,可以自定义安全配置。 IPSec有两种工作模式:传输模式和隧道模式。传输模式用于保护主机到主机的通信,实现的是端到端的通信,在传输过程中对IP包头不加密,而是对数据部分进行加密;隧道模式用于保护主机和网络或者两个网络之间的通信,即实现VPN的功能,这种模式对整个IP数据包进行加密,对数据包进行了重新封装。

在Win2003系统中,需要在组策略中对IPSEC进行配置。打开组策略编辑器,在“计算机配置\windows设置\安全设置\IP安全策略”中可以对IPSec进行配置。

IPSec的功能是通过不同的IPSec策略实现的,在Windows系统中默认已经存在了3个IPSec策略,如图所示。

image

对这3个默认IPSec策略一般无需改动,绝大多数情况下都是通过建立新的IPSec策略以实现我们的要求。

下面我们以限制只有指定IP地址的客户端可以访问Win2003服务器上的远程桌面服务为例,来介绍IPSEC安全策略的配置方法。

 

2、限制指定客户端访问远程桌面

当我们把远程桌面服务开启后,可以方便管理远程服务器,但同时也给服务器带来了一定的威胁。为了服务器的安全,我们可以通过设置安全策略限制连接远程桌面服务的ip及网络

假设服务器的ip为192.168.100.33,为了服务器的安全,我们只允许192.168.100.34地址的连接远程桌面。

首先我们要在ip策略里新建一条策略,

image

进入如上图所示的ip安全策略向导,点击下一步——下一步(将策略命名为iprule),当弹出警告时,选择“是”——“下一步”。

image

点击“完成”,查看新建的ip策略,右击“属性”。

image

IPSec安全策略的功能主要是由IP安全规则实现的,在这个新建的策略里已经存在一个默认的动态规则,但并未启用。

IP安全规则又主要包括“IP筛选器列表”和“筛选器操作”两部分。

筛选器的作用是用来定义数据类型,筛选出符合要求的数据;筛选器操作则用来指定对这些筛选出来的数据进行什么操作。

所以定义IP安全规则主要分两步进行:首先定义IP筛选器,然后定义对筛选器的操作。

接下来我们要定义2条安全规则,一条规则拒绝任何ip连接到本机的3389端口,另一条规则只允许192.168.100.34这个ip连接到服务器的3389端口,这样新建的规则就会在拒绝规则的上方,实现一个ip的筛选。

首先建立拒绝任何ip连接到服务器的3389端口的规则。

点击添加按钮,打开新建规则向导。

image

下一步:

image

下一步:

image

选择“添加”,新建一个筛选器:

image

点击“添加”弹出ip筛选器列表

image

点击“添加”——“下一步”——“下一步”,然后在源地址栏选择“任何ip地址”

image

点击“下一步”,目的地址选择我的ip地址。

image

然后点击“下一步”,在ip协议类型选择tcp协议

image

点击“下一步”,把目标端口改成3389

image

点击“下一步”,然后点击“完成”——“确认”。

image

点击“确认”后,选择刚建的ip筛选列表,点击“下一步”,

image

弹出“ip”筛选操作。点击“添加”

image

点击“下一步”,给筛选器设置操作名称,

image

选择“阻止”,点击“下一步”

image

单击“完成”。

image

点击“完成”后,在筛选面板上选择“阻止”,单击“下一步”

image

点击“下一步”——然后点击“完成”。

image

点击“确认”后,右击“iprule”指派刚新建的策略,使其生效。

注:在指派之前打开命令行,输入services.msc,然后设置ipsec service为自动或手动,并开启服务。

image

指派策略:

image

通过上面策略创建与指派后,任何ip的端口都无法连接到服务器的3389端口,因此我们还需要新建一条规则,允许我们指定的ip访问服务器的3389端口。

双击iprule,在属性面板里添加规则。如图:

image

点击“下一步”直到如下图所示,添加ip筛选列表。

image

填写ip筛选相关信息。

image

点击“下一步”,然后选择指定源地址192.168.100.34

image

指定源地址后,点击“下一步”,选择目标地址为我的ip地址,协议为tcp,端口为3389。

目标地址:

image

Tcp协议:

image

3389端口:

image

点击“完成”。

image

返回到安全规则向导,选择刚才创建的允许指定ip访问服务器的3389端口的ip筛选列表,点击“下一步”。

image

选择“许可”然后“下一步”。

image

通过以上设置好,点击下一步,直至完成,最后查看新建好的策略。

image

在查看上图时,确保允许的规则在阻止规则上方,因为规则的执行是从上至下的顺序,这两条规则同时使用才能实现限制ip访问服务器远程桌面。

点击“确认”后,重启下规则,先关闭指派,再重新指派即可,至此,限制访问远程桌面服务全部完成。

举一反三,我们可以通过上面的方法,限制只允许某一个网段访问远程桌面,只需要选择源地址为某一个网段即可。

本文出自 “一壶浊酒” 博客,转载请与作者联系!

网络安全系列之二十一 配置IPSEC安全策略