浅谈分析TCP/IP筛选 VS IPSec 策略
新客网 XKER.COM 2006-10-21 来源: 收藏本文
配置 TCP/IP 安全:
1. 单击开始,指向设置,单击控制面板,然后双击网络和拨号连接。
2. 右键单击要在其上配置入站访问控制的接口,然后单击属性。
3. 在选定的组件被这个连接所使用框中,单击 Internet 协议 (TCP/IP),然后单击属性。
4. 在 Internet 协议 (TCP/IP) 属性对话框中,单击高级。
5. 单击选项选项卡。
6. 单击 TCP/IP 筛选,然后单击属性。
7. 选中启用 TCP/IP 筛选(所有适配器)复选框。选中此复选框后,将对所有适配器启用筛选,但您要逐个为适配器配置筛选器。同一筛选器并不适用于所有适配器。
8. 该窗口中一共有三列,分别标记为:
TCP 端口
UDP 端口
IP 协议在每一列中,都必须选择下面的某个选项:
全部允许。如果要允许 TCP 或 UDP 通信的所有数据包,请保留全部允许处于选中状态。
仅允许。如果只允许选定的 TCP 或 UDP 通信,请单击仅允许,再单击添加,然后在添加筛选器对话框中键入相应的端口。
如果要阻止所有 UDP 或 TCP 流量,请单击仅允许,但不要在 UDP 端口或 TCP 端口列中添加任何端口号。如果您为 IP 协议选中了仅允许并排除了 IP 协议 6 和 17,并不能阻止 UDP 或 TCP 通信。
请注意,即使在 IP 协议列中选择了仅允许而且不添加 IP 协议 1,也无法阻止 ICMP 消息。
“TCP/IP 筛选”只能筛选入站流量。此功能不影响出站流量,也不影响为接受来自出站请求的响应而创建的响应端口。如果需要更好地控制出站访问,请使用 IPSec 策略或数据包筛选。
以下是关于IPSec 策略的官方说明
Internet 协议安全 (IPSec) 循序渐进指南
在进行IPSec完整性配置时,有两个选项 :Message Digest 5 (MD5)和安全散列算法1(Secure Hash Algorithm 1 ,简称SHA1)。后者的安全度更高,但需要更多的 CPU资源,MD5使用128位散列算法,而SHA1使用的160位算法。
IPSec 认证协议
当两个系统互相交换加密数据之前,需要相互对加密的数据包进行安全认定。这个安全认定成为安全协定(security association,简称SA)。在相互通信之前,两个系统必须认定对同一SA。
因特网密钥交换协议(Internet Key Exchange,简称IKE)管理着用于IPSec连接的 SA协议过程。IKE是因特网工程任务组(Internet Engineering Task Force,简称IETF)制定的关于安全协议和密钥交换的标准方法。IKE的操作分两阶段:第一阶段确保通信信道的安全,第二阶段约定SA的操作。
为了建立IPSec通信,两台主机在SA协定之前必须互相认证,有三种认证方法:
Kerberos - Kerberos v5常用于Windows Server 2003,是其缺省认证方式。 Kerberos能在域内进行安全协议认证,使用时,它既对用户的身份也对网络服务进行验证。Kerberos的优点是可以在用户和服务器之间相互认证,也具有互操作性。Kerberos可以在 Server 2003的域和使用Kerberos 认证的UNix环境系统之间提供认证服务。
公钥证书 (PKI) - PKI用来对非受信域的成员,非Windows客户,或者没有运行Kerberos v5 认证协议的计算机进行认证,认证证书由一个作为证书机关(CA)系统签署。
预先共享密钥 -在预先共享密钥认证中,计算机系统必须认同在IPSec策略中使用的一个共享密钥 ,使用预先共享密钥仅当证书和Kerberos无法配置的场合。
IPSec加密协议
IPSec提供三种主要加密方法,如下
数据加密标准 (DES 40位) - 该加密方法性能最好,但安全性较低。该 40位数据加密标准(Data Encryption Standard,简称DES)通常被称为 安全套接字层(Secure Sockets Layer,简称SSL)。适用于数据安全性要求较低的场合。
数据加密标准 (DES 56位) - 通过IPSec策略,可以使用56位 DES的加密方法。1977年美国国家标准局公布了DES算法,它可以在通信过程中经常生成密钥。该功能可防止因为一个DES密钥被破译而整个数据集的安全受到影响。但是在商业中被认为过时了,仅用于传统的应用支持,有专门的硬件可以破译标准的 56位密钥。
1. 单击开始,指向设置,单击控制面板,然后双击网络和拨号连接。
2. 右键单击要在其上配置入站访问控制的接口,然后单击属性。
3. 在选定的组件被这个连接所使用框中,单击 Internet 协议 (TCP/IP),然后单击属性。
4. 在 Internet 协议 (TCP/IP) 属性对话框中,单击高级。
5. 单击选项选项卡。
6. 单击 TCP/IP 筛选,然后单击属性。
7. 选中启用 TCP/IP 筛选(所有适配器)复选框。选中此复选框后,将对所有适配器启用筛选,但您要逐个为适配器配置筛选器。同一筛选器并不适用于所有适配器。
8. 该窗口中一共有三列,分别标记为:
TCP 端口
UDP 端口
IP 协议在每一列中,都必须选择下面的某个选项:
全部允许。如果要允许 TCP 或 UDP 通信的所有数据包,请保留全部允许处于选中状态。
仅允许。如果只允许选定的 TCP 或 UDP 通信,请单击仅允许,再单击添加,然后在添加筛选器对话框中键入相应的端口。
如果要阻止所有 UDP 或 TCP 流量,请单击仅允许,但不要在 UDP 端口或 TCP 端口列中添加任何端口号。如果您为 IP 协议选中了仅允许并排除了 IP 协议 6 和 17,并不能阻止 UDP 或 TCP 通信。
请注意,即使在 IP 协议列中选择了仅允许而且不添加 IP 协议 1,也无法阻止 ICMP 消息。
“TCP/IP 筛选”只能筛选入站流量。此功能不影响出站流量,也不影响为接受来自出站请求的响应而创建的响应端口。如果需要更好地控制出站访问,请使用 IPSec 策略或数据包筛选。
以下是关于IPSec 策略的官方说明
Internet 协议安全 (IPSec) 循序渐进指南
在进行IPSec完整性配置时,有两个选项 :Message Digest 5 (MD5)和安全散列算法1(Secure Hash Algorithm 1 ,简称SHA1)。后者的安全度更高,但需要更多的 CPU资源,MD5使用128位散列算法,而SHA1使用的160位算法。
IPSec 认证协议
当两个系统互相交换加密数据之前,需要相互对加密的数据包进行安全认定。这个安全认定成为安全协定(security association,简称SA)。在相互通信之前,两个系统必须认定对同一SA。
因特网密钥交换协议(Internet Key Exchange,简称IKE)管理着用于IPSec连接的 SA协议过程。IKE是因特网工程任务组(Internet Engineering Task Force,简称IETF)制定的关于安全协议和密钥交换的标准方法。IKE的操作分两阶段:第一阶段确保通信信道的安全,第二阶段约定SA的操作。
为了建立IPSec通信,两台主机在SA协定之前必须互相认证,有三种认证方法:
Kerberos - Kerberos v5常用于Windows Server 2003,是其缺省认证方式。 Kerberos能在域内进行安全协议认证,使用时,它既对用户的身份也对网络服务进行验证。Kerberos的优点是可以在用户和服务器之间相互认证,也具有互操作性。Kerberos可以在 Server 2003的域和使用Kerberos 认证的UNix环境系统之间提供认证服务。
公钥证书 (PKI) - PKI用来对非受信域的成员,非Windows客户,或者没有运行Kerberos v5 认证协议的计算机进行认证,认证证书由一个作为证书机关(CA)系统签署。
预先共享密钥 -在预先共享密钥认证中,计算机系统必须认同在IPSec策略中使用的一个共享密钥 ,使用预先共享密钥仅当证书和Kerberos无法配置的场合。
IPSec加密协议
IPSec提供三种主要加密方法,如下
数据加密标准 (DES 40位) - 该加密方法性能最好,但安全性较低。该 40位数据加密标准(Data Encryption Standard,简称DES)通常被称为 安全套接字层(Secure Sockets Layer,简称SSL)。适用于数据安全性要求较低的场合。
数据加密标准 (DES 56位) - 通过IPSec策略,可以使用56位 DES的加密方法。1977年美国国家标准局公布了DES算法,它可以在通信过程中经常生成密钥。该功能可防止因为一个DES密钥被破译而整个数据集的安全受到影响。但是在商业中被认为过时了,仅用于传统的应用支持,有专门的硬件可以破译标准的 56位密钥。
上一篇:恶意网站修改注册表的几个解决办法 下一篇:不断变化与不停进化中的网络威胁
最新相关文章发表评论
评论内容:不能超过250字,需审核后才会公布,请自觉遵守互联网相关政策法规。
阅读排行
随机推荐
实用信息推荐