管理员如何有效保障服务器和网络安全
来源:支点网 更新时间:2012-04-14
  如果问网络管理员如何有效的保障服务器和网络安全的话,恐怕有百分之九十的人会回答——更新补丁,在本地计算机安装防火墙。确实如此,这两个措施是最有效提高安全的方法,对于更新补丁我们只需要把windows操作系统自带的自动更新功能启用即可,相应的在本地计算机安装防火墙并配置合适的安全策略则变得有些难度。瑞星,江民等国内防火墙防护效果欠佳,而国外的norton和卡巴斯基等又占用过多的系统资源。如何选择一款适合自己的防火墙变成一件困难的事。
  也许有人听说过windows系统在XP SP2和WINDOWS 2003中内置了一个防火墙,但是该防火墙功能略显不足。而今天笔者要为各位读者介绍的也是windows系统中存在的可提供给我们免费使用的防火墙,他不同于往常我们所说的那个内置防火墙,但是他却可以提供更好的安全策略。他就是本文介绍的主角——ipsec。
  一、IPSEC基本概念:
  IPSEC在建立VPN过程中使用频率比较高,然而很多人都忽略了其包含的一个小组件——IP FILTER。IP Filter,是包含于IP Security(IPSec)中的,是Windows 2K以后新加入的技术。工作原理很简单,当接收到一个IP数据包时,ip filter使用其头部在一个规则表中进行匹配。当找到一个相匹配的规则时,ip filter就按照该规则制定的方法对接收到的IP数据包进行处理。 这里的处理工作只有两种:丢弃或转发。
  如上所说,ip filter只是IPSec的一部分功能而已。对于不在domain中的个人用户,IPSec的数据加密是用不到的。所以本文主要是介绍如何用IP Filter构建防火墙,实现常用防火墙的部分功能。
  二、用IP Filter当防火墙的准备工作:
  由于IP Filter属于IPSec的一部分,所以在使用及配置IP Filter前需要保证IPSEC服务的正常运行。我们可以通过任务栏的“开始->运行”,输入services.msc进入服务设置窗口。在服务设置窗口中找到名为ipsec services的服务,保证他是“启动”的。如果该服务没有启动,我们需要双击其名称,点“启动”按钮手动启动该服务,然后还需要把其启动方式设置为“自动”,这样才能保证下面设置好的IP Filter防火墙过滤信息可以随系统启动而启动,从而保证对数据包的过滤功能生效。
  小提示:如果你在服务名称中没有找到ipsec services服务也不要着急,该项服务可以在Windows 2000全系列/XP Pro/.Net Server中找到,而在XP HOME中是不支持该功能的。所以说没有找到该服务是因为你的系统不合乎要求,只能放弃了。
  三、配置IP Filter:
  有过配置防火墙或者过滤策略的读者在配置IP FILTER上也是非常容易上手的。配置策略和访问控制列表以及过滤规则是一样的。我们通过MMC加载IPSEC模块来实施此功能。
  第一步:通过任务栏的“开始->运行”输入MMC,启动管理单元控制台窗口。
  第二步:默认情况下只有“控制台根节点”一个选项。我们通过主菜单的“文件->添加/删除管理单元”来加载IPSEC模块第三步:在出现的添加/删除管理单元窗口中我们点“添加”按钮
  第四步:在添加独立管理单元选项中找到“IP安全策略管理”,点“添加”按钮进行添加
  第五步:系统会要求你选择的这个管理单元要管理的计算机是哪个或者域是哪个。由于我们是对本地计算机操作,所以选上“本地计算机”后点“完成”按钮第六步:添加后我们会在控制台窗口的“控制台根节点”下看到“IP安全策略,在本地计算机”的项目
      第七步:在“IP安全策略,在本地计算机”上点鼠标右键选择“管理IP筛选器表和筛选器操作”开始配置我们的防火墙策略小提示:实际上我们不仅可以通过MMC加载根节点控制台的方法使用IPSEC模块,在任务栏的“开始->运行”输入secpol.msc,在打开的窗口中可以直接选择“管理IP筛选器表和筛选器操作”。这种方法更加简单快捷。
  第八步:在弹出的“管理IP筛选器表和筛选器操作”设置窗口中默认情况下有两项,一个是对所有ICMP通讯量进行过滤的,另一个是对所有IP通讯量进行过滤的。我们可以通过“添加”按钮加新的规则
  第九步:系统会自动生成一个名为“新IP筛选器列表”的规则,我们在该窗口中点“添加”按钮继续加一个具体的过滤项
  第十一步:首先我们指定IP通讯的源地址,类似于规则中的源地址。可供我们选择的有“一个特定的IP子网络”(一个区域包括网络号和子网掩码),“一个特定的IP地址”(一个地址),“一个特定的DNS名称”(对域名进行过滤,即使他的IP是变化的),“任何IP地址”(所有IP地址),“我的IP地址”(本机IP地址)。设置完后点“下一步”继续
  第十二步:接着指定IP通讯的目的地址,类似于规则中的目的地址。可供我们选择的有“一个特定的IP子网络”(一个区域包括网络号和子网掩码),“一个特定的IP地址”(一个地址),“一个特定的DNS名称”(对域名进行过滤,即使他的IP是变化的),“任何IP地址”(所有IP地址),“我的IP地址”(本机IP地址)。设置完后点“下一步”继续
  第十三步:当我们想对某个域名进行过滤的时候,可以在目的地址处选择“一个特定的DNS名称”,然后在主机名处输入对应的域名。例如我们sohu.com
       第十四步:由于sohu.com对应的是很多的IP地址,而且是动态的IP地址。因此系统会首先查看本地DNS缓存,读取缓存中对应的IP地址进行过滤
  第十五步:选择通讯协议类型,包括我们常用的TCP和UDP,还可以设置为任意V
       第十六步:完成IP筛选器建立向导,点“完成”按钮结束此操作
       第十七步:我们会在刚刚见过的IP筛选器列表窗口中看到添加的规则。由于这些规则都是在同一个筛选器中,所以规则可以同时生效
  第十八步:点“添加”和“关闭”按钮保存之前的设置,我们会在“IP筛选器列表”中看到新建立的名为“新IP筛选器列表”的筛选器
  小提示:默认情况下,IP Filter的作用是单方面的,比如Source: A, Destination: B,则防火墙只对A->B的流量起作用,对B->A的流量则略过不计。选中Mirror,则防火墙对A<->B的双向流量都进行处理(相当于一次添加了两条规则)。
  这时我们在通过本机访问sohu.com网站时就会收到失败的回应消息。当然本次只是介绍简单过滤规则的建立方法,在实际使用中明确过滤的源地址,目的地址,使用协议后都可以使用此方法结合IPSEC中的IP Filter达到防火墙过滤非法数据包的功能。