使用IPSec进行主机加固

1引言

互联网的美妙之处在于你和每个人都能互相连接

互联网的可怕之处在于每个人都能和你互相连接

2 * * 常用的 * *手段

?网络监听

?数据篡改

?欺骗

?中间人* * *

?密码破解

?缓冲区溢出

//你看到的文档来自大郭讲堂

3网络安全范畴中的四大标准

?数据保密性

?数据完整性

?认证

?不可否认性

4什么是IPSec

IPSec是网络安全业内的一个标准,并不是Windows特带的一个工具或功能,其他众多例如Unix, Linux, MAC系统等都支持(此外就已经将IPSec内置到系统内核中),

//你看到的文档来自使用IPSec进行主机加固

5什么是IPSec策略

?IPSec使用策略和规则提升网络安全性

?规则包含

筛选器

筛选器动作

身份验证方法

?默认策略(存在于早期的系统中)

客户端(RespondOnly)

服务器(RequestSecurity)

SecureServer (RequireSecurity)

6 IPSEC能做什么

?禁用协议

?加密数据

?关闭端口

?身份验证

?…。

6.1打开IPSec

<编辑>但是通过开始运行命令打开

在“开始祝辞运行”中输入Secpol。msc（本地安全策略）；

6.1.2 通过MMC打开

在” 开始>运行”中输入MMC，在控制台中依次单击”文件>添加/删除管理单元>IP安全策略管理”，并单击“添加”选项，在弹出的确认对话框中选择“本地计算机”确定；

6.2 禁用协议

6.2.1 例：禁止PING协议

6.2.2 创建策略

在“IP安全策略”右侧窗口的空白位置，单击右键，选择“创建IP安全策略>下一步>输入自定义名称后单击下一步>下一步>完成”；

6.2.3 新建安全规则

取消“使用添加向导”，单击“添加”；

6.2.4 添加筛选器（定义数据类型：从哪到哪的什么流量）

单击“添加”在筛选器列表中输入自定义名称，取消“使用添加向导”单击“添加”；

在地址选项下选择源地址为“任何IP地址”，目标地址为“我的IP地址”；

//镜像：完成IPSEC策略后，此处设定为别人不能PING自己，勾选镜像后则自己也不能PING别人（ICMP协议时来回的，就算不勾选镜像，也不能互相ping）；

切换到“协议”表情中，选择ICMP协议，选择完成后单击“确定>确定”；

//可以先设置一条只允许特定IP主机PING自己，在加一条不允许任何IP主机PING自己，最终结果即为只允许特定IP主机PING，其他主机都不能PING；

6.2.5 选择筛选器操作

勾选上步中建好的数据流”PING”，切换到“筛选器操作”标签中，取消“使用添加向导”，单击“添加”；

在安全方法标签下选择“组织”；

//许可：允许通过；阻止：拒绝通过；协商安全：加密后通过；

在常规标签下填写自定义名称，此处为NO，填写完成后单击“应用>确定”；

在”筛选器操作“下面勾选新建好的”NO“并单击”应用>确定>确定；“

6.2.6 启用策略

此时策略创建完成后暂为生效，选择策略右键选择 “分配”即可；