IPSEC安全策略相关

1、windows ipsec安全策略相关这个文档中我们将要介绍的内容是如何通过信任通讯的实施來防御网络攻击什么是ipsecipsec是"internet协议安全”的缩写，被用于保护通过其ip地址进行通信的两台计算机之 间ip通信。它使用ipsec策略中定义筛选来划分ip数据包。数据包分类，匹配到筛 选器后，发牛配置筛选器操作。是一种通过加密安全服务的使用来确"internet协议（ip）” 网络之上的保密安全的通讯。对于ipsec來说有两个目标：1. 保护ip数据包的内容。2. 通过数据包筛选及受信任通讯的实施来防御网络攻击。这两个目标都是通过使用基于加密的保护服务、安全协议

2、来实现的。这个基础为网络计算机z间 的通讯提供了既有力乂灵活的保护。它甚至可以用来阻碍特定通讯类型的接收和发送。由设计，下列类型的ip通信被免除和无法由ipsec保护的：广播通信來自一个发送者转到许多接收器是未知向发送者。此类型的数据包通过ipsec过滤器能归类。例如, 使用192.168.0.x标准c类子网将有192.168.0.255的广播地址。广播地址収决于子网掩码。多播向许多接收器是未知向发送者与广播通信，一个发送者发送ip数据包。这些是地址范帼从224.0.0.0到 239.255.255.255 屮。资源保留协议（rsvp）此通信使用ip协议46,用于提供windows 2000屮

3、服务质量（qos）。免除的rsvp通信呈都耍求 以允许qos标记为可能是由ipsec保护通讯。internet密钥交换（ike）ike是由ipsec用于安全（如果筛选操作指示安全需要协商）协商安全参数和数据包匹配到筛选器后建立 共享加密密钥协议。windows 2000总是使用用户数据报协议（udp）源和目标端口 500进行ike通 信。 kerberoskerberos是核心windows 2000安全协议通常山ike用于ipsec验证。此通信使用udfvtcp协 议源和口标端口 88o kerberos是本身，不需要由ipsec保护的安全协议。kerberos免除基本上是: 如果并且有源或

4、口标端口是tcp或udp数据包=8&允许。注意:这些免除适用于ipsec传输模式筛选器对于数据包,有一个源地址的计算机止在发送数据包。ipsec 隧道可保护仅单播ip通信。ipsec-tunnel模式筛选也能处理多播或广播数据包。如果kerberos. ike 或rsvp数据包是一个适配器上接收并超出英他适用器（通过使用数据包转发或路山和远程访问服务），路山 它们是不受ipsec tunnel -模式筛选并且可能将在隧道内部执行。ipsec策略组件概述ipsec策略山几个组件组成，这些组件用于实施组织的ipsec安全耍求。下图描绘了ipsec策略的各种组件以及它们zi'可如何关

5、联。密钥交换方法(ike)ipsec策略充当一套规则的容器，这些规则确定将允许哪些网络通信流以及如何允许。 每条规则11 一个筛选器列表和一个关联操作组成。筛选器列表包含一组筛选器。当通信流 与特定筛选器匹配时，将触发关联的筛选器操作。另外，规则还定义在主机之间使用哪些 身份验证方法。此图以从上往下的方式描绘了策略组件。但是，建立策略最有效的方法是从筛选器和 筛选器列表开始，因为它们是控制保护哪个通信流的基础构造块。我们可以看到一个ipsec策略的大体构成情况：由一或多个筛选器构成一个筛选器 列表，对于每-个筛选器列表都有且只有一个筛选器操作与之对应，这种一一对应的关系就 是ipsec策略的一

6、个规则，或多个规则便构成了一个完整的ipsec策略。当一个通信请 求产牛时，请求方与被请求方的ip,协议，端口等信息将与筛选器列表中的筛选器逐一进 行比照，如果与某筛选器相符合，则由ipsec策略执行与该筛选器列表对应的筛选器操作。rh此可见，我们在配置ipsec策略的时候所需的工作就是一一配置筛选器列表，并 为每个列表指定一个筛选器操作tcp/ip筛选与ipsec比较tcp/ip筛选只可只设定客户端通过几个固定的tcp或udp端口进行对服务器的访问，或限定ip访问，每增加一次就要重启服务器一次，只能适合比较小型访问，ipsec策略可设定即 时牛效，不用重启服务器，可对端口或ip进行封锁或访问

7、，可拒绝一些不安全端口的访问，也可 像tcp/ip筛选一样只设定客户端通过几个固定的tcp或udp端口进行对服务器的访问, 可选择性要人很多，其中的许可比拒绝优先，这样就可以设定优先通过某一些特定的ip,也可 设定某个ip只能访问某个端口 z类的。tcp/ip筛选会在注册表中的 hkeyloca !_machinesystemcontrolset001servicestcpipparameters hkeyloca l_m achinesystemcontrolset002servicestcpipparameters hkey_local_machinesystemcontrolset003

8、servicestcpipparameters屮 的enablesecurityfilters值上设定，当为"enablesecurityfiltersn=dword:00000001,即 tcp/ip 筛选生 效，当为"enablesecurityfiltersdwordzoooooooo,即 tcp/ip 筛选失效，如果我们用 regedit -e 导 出以上三个键值，把 enablesecurityfilters 值改成 dword:oo()()(x)(x),regedit -s 即可以使 tcp/ip 筛选失效，1psec策略就没有这个安全隐患，而且ip策略可以备份

9、为文件方便衣不同的电 脑上使用(2k和xp或2k3使用的不同,这点要注意) 启动ipsec服务开始设置。控制而板管理工具服务或者在开始运行中输入services.msc选择ipsec service该项服务可以在windows 2000全系列/xp pro/.nct server中找到，而在xp home中 是不支持该功能的，启动该服务并设置启动类型为自动，这样可以保证防火墙可以随系统启 动而启动，ipsec防火墙在系统中对应的进程为lsass.exe编辑ip筛选器列表筛选器川于匹配通信，它包括：1. 一个源ip地址或地址范围2. 一个bl的ip地址或地址范围3. 一个 ip 协议,如 tcp

10、, udp 或 “any”4. 源端口和目标端口 (仅限于tcp和udp)筛选器列表用于将多个筛选器组合在一起以便将多个ip地址和协议组合成一个h标來 进行处理在编辑ip筛选器列表之前，我们首先需要了解需要确保哪些通信的安全，禁止哪些通 信，以我们在idc托管的游戏服务器为例，需要保证公司内部与服务器间的通信，玩家与 游戏服务器之间的通信，服务器内网之间的通信，根据需要的不同，这些通信需要应用不同 的规则，例如只允许公司内部地址使川终端连接而禁止其他川户使川，因此要对各种通信的 双方对象，通信内容有系统的了解，据此对筛选器列表迓行编辑。在任务栏的“开始运行”输入secpol.msc,在“ip安

11、全策略，在本地计算机”上点鼠标 右键选择“管理ip筛选器表和筛选器操作"，在弹出的“管理ip筛选器表和筛选器操作”设置窗口中默认情况下有两项，一个是对所有icmp通讯量进行过滤的，另一个是对所有ip通 讯量进行过滤的。通过“添加”在筛选器列表中增加筛选器列表系统会自动牛成-个“新ip筛选器列表”，可以根据需要命名筛选器列表（比如命名为“允许访问主机”）并加上描述，可以将这个筛选器列表的适用范围，功能做一简略描述，以便 于进行ip筛选列表管理，这个描述可以在”管理ip筛选列表”里看到。我们在该窗口中点“添 加”按钮继续加一个具体的筛选器系统将口动启动ip筛选器向导。在这里我们举例说明，

12、假设有一台iis的web服务器 208.108.59.155并且此服务器提供的外部访问端口是1666,并且只让ip地址是192.168.x.x网段的计 算机对他进行访问。选择源地址，这里源地址是指这个ip筛选器对应的网络通信的通信请求 的发起方，我们把管理对象设定为192.168.x.x网段对本机的访问，因此源地址选择“一个 特定的ip子网”，此时需要输入子网的ip192.16&0.0以及子网掩码255.255.255.0,点击下一 步，输入ip通信的目标地址，这甲就是木机ip,选择我的ip地址，随后会出现通信协议选择 窗口，在这里我们可以看到相当多的通信协议。通过观察可以发现这里包括

13、了h前所冇的协议，也就 是说，通过协议的选择可以方便的使用ipsec來保护用于不同目的的计算机。本文中我们选择“tcp" 协议点击下一步接着点选“从任意端口”（子网主机可通过任意端口访问）秋'到此端口”并输入1666 （web服务器的外部访问端口），这样就完成了筛选器的编辑，当192.16800网段的计算机请求访 问此web服务器，通信流即与该筛选器匹配，将触发关联的筛选器操作。（在一个筛选器列表 中可以同时拥有若干筛选器，比如我们还想允许202.108.58.113访问该web服务，在筛选 器列表屮选择“允许访问主机”，选择编辑添加，后边的步骤就和上边的操作一样，不同 的就

14、是在源地址中需要选择“一个特定的ip地址”，输入202.108.58.113。按照同样方法可 以在筛选器列表中添加第三个，第四个第n个筛选器，冇至筛选器列表完成，但是要求 对所有筛选器操作是相同的，即同一筛选器列表对应的所有通信要都是被允许或都被禁止 的）工作到这里并没有完成，上面的操作只建立了允许访问的筛选器列表，当有非该子网主机发出 対web服务器202.108.59.155访问请求吋，我们还要建立一个筛选器列表与之匹配，因此我们还要 建立一个阻止列表。其步骤和前而基本相同，只绘在“源地址”中要选择“任何ip地址”，在协议中选 择“任意”，最后完成此列表建立，并为此列表起一个名字比如“全部

15、拒绝访问”。筛选器操作在完成了筛选器列衣建立后，我们可以考虑对筛选器列表所需耍进行的筛选器操作了，默认的情况下有请求安全，需耍安全，许可三种类型的筛选器操作（请求安全接受不安全的通讯，但是请求客 八端建立信任和安全措施。如果不被信任的客八端不响应请求则使用不安全通讯；需耍安全接受不 安全的通讯，但总杲请求客户端建立信任和安全措施。将不会与不被信任的客户端通讯。这两种操作 都属于协商安全操作，由于我们没有对信息进行加密处理，这两个选项将不能生效），为了限制非 192.168.0.0.了网主机的访问，我们需要建立一个阻止的筛选器操作，其方法是在“管理ip筛选器表 和筛选器操作”窗口中点“管理筛选器

16、操作”标签中的“添加”按钮，在出现的向导中输入筛选器操作名字-阻止，然后点击下一步然后选择“阻止下一步-完成就完成筛选 器操作阻止的建立了。值得说明的是，在上面的操作中，“管理ip筛选器表”和“筛选器操作”两个模块是各自独 立的，一个是管理的对象一个是管理的方式。他们z间的关系我们可以打个比方:我们想要 川刀切一车西瓜，那么每个ip筛选器表就好比按不同要求挑出來的一笼西瓜，筛选器操作 就好比是几把不同的刀，在我们动手之前他们是不相关的.创建ipsec安全策略配置好ip筛选器列表和筛选器操作z后，我们就可以建立规则血故终构成完整的ipsec 策略了。那么规则是什么？沿用z前的比方，筛选器列表是一

17、笼西瓜，筛选器操作是刀，那 么规则呢，就是确定哪笼西瓜该用哪把刀來切的过程。在任务栏的“开始运行"输入secpol.msc,在“ip安全策略，在本地计算机"上点鼠标 右键选择“创建ip安全策略”-下一步-策略名称（我们暂命名mypolicy）和描述（自定） -下一步-激活默认响应规则，默认响应规则只有在该主机为域成员时才令效，这里我们可 以不选择，点击完成这样就建立了一个新的ip安全策略，由于没有配置任何规则，凶此还 是空策略。接下来的操作就是在策略这个规则容器里血装入规则了编辑ip安全策略右键点击建立的ip安全策略，选择属性> 下一步> （此规则不指定隧道，）

18、 下一步选择网络连接，我们选择“所有网络连接”>下一步，这里我们会看到我们所编辑 的所有筛选器列表，选择一个筛选器列表（选一笼西瓜），我们选择z前建立的“允许访问 主机”下一步-> 选择一个筛选器操作（选把刀），这里选允许-> 下一步完成。重复上述的步骤，为每一个筛选器列表都选择一个相应的操作，整个的规则就配置完成了.筛选器具有内置的计算权值的算法或顺序，在选择通信流时，顺序也被称为筛选器的特定程度。权值越 大，筛选器就越特定。所有这些特处筛选器都根据它们的权值排序。筛选器权值是依次根抓筛选器中可 能定义的ip地址、协议和端口计算的。数据包首先与最特定的筛选器进行匹配，从而最

19、人程度地缩短根 据全部筛选器处理毎个数据包所需的时间。与某个数据包相匹配的最特定筛选器所对应的筛选器操作就是 对该数据包执行的唯一操作。可以定义的最具一般性的筛选器就是与任何ip地址、所冇协议和端口都匹 配的那些筛选器。我们可以通过以下四个筛选器定义来证实权值的真实存在，为了测试的方便，源地址采 用木机地址：1我的ip地址v->任何ip地址，任何协议2我的 ip 地址 <-> 172.16.0.0/255.255.0.0,任何协议3我的 ip 地址 <-> 172.16.0.0/255.255.0.0, tcp协议,3389 端口4我的 ip 地址 - 172.1

20、6.100.99, tcp 协议，3389 端口我们可以看到筛选器从1到4,其特殊性逐渐増强，我们依次将上述筛选器对应操作：1.允许2禁止3. 允许.4禁止加入到策略中,加入1,对外访问不受限;加入2后，不能访问172.16.0.0子网,加入3后, 仅能通过3389端口（终端）访h 172.16.0.0子网以及非该子网主机；加入4后172.16.0.0子网内除 172.16.100.99主机外可且仅可通过3389端口访m，172.16.100.99无法通过任何方式访问,非该子 网主机可任意访问.即使改变规则的加入顺序垠后得到的结果也是一样的，可见权值是真实存在的，当一个 通信与若干筛选器匹配的

21、时候，所激活的操作是权值最高的筛选器所对应的操作。由于一个策略可以有若 干规则对应的若干筛选器列表，每个筛选器列表内可以含有若干筛选器，在实际操作中，是以筛选器为单 位进行权值高低的排序。在我们实际应用中对于绝人多数服务器，“任何ip地址到我的ip地址任何协议”就是可以定义的最一般 的筛选器，此筛选器通常与阻止操作配介使用以实现默认行为“全部拒绝”。如果使用此筛选器來阻止全部 通信流，则其余更特定的筛选器可以被看作第一个筛选器的例外情况。我们以loginserver为实例设置一个简略的筛选器规则列表：1. 任何ip地址v - 我的ip地址，任何协议阻止2. 一个特定的ip子网v我的ip地址，任何协议允许3. 任何ip地址v-我的ip地址，tcp协议，5000端口 允许4. 任何ip地址v-我的ip地址，tcp协议，5001端口 允许5. 任何ip地址v-我的ip地址，tcp协议，7000端口 允许6. -个特定的ip地址v我的ip地址，tcp协议，3389端口 允许 其中2屮源地址为longin