IPSEC安全策略相關(guān)

1、windows ipsec安全策略相關(guān)這個(gè)文檔中我們將要介紹的內(nèi)容是如何通過信任通訊的實(shí)施來防御網(wǎng)絡(luò)攻擊什么是ipsecipsec是"internet協(xié)議安全”的縮寫，被用于保護(hù)通過其ip地址進(jìn)行通信的兩臺(tái)計(jì)算機(jī)之 間ip通信。它使用ipsec策略中定義篩選來劃分ip數(shù)據(jù)包。數(shù)據(jù)包分類，匹配到篩 選器后，發(fā)牛配置篩選器操作。是一種通過加密安全服務(wù)的使用來確"internet協(xié)議（ip）” 網(wǎng)絡(luò)之上的保密安全的通訊。對(duì)于ipsec來說有兩個(gè)目標(biāo)：1. 保護(hù)ip數(shù)據(jù)包的內(nèi)容。2. 通過數(shù)據(jù)包篩選及受信任通訊的實(shí)施來防御網(wǎng)絡(luò)攻擊。這兩個(gè)目標(biāo)都是通過使用基于加密的保護(hù)服務(wù)、安全協(xié)議

2、來實(shí)現(xiàn)的。這個(gè)基礎(chǔ)為網(wǎng)絡(luò)計(jì)算機(jī)z間 的通訊提供了既有力乂靈活的保護(hù)。它甚至可以用來阻礙特定通訊類型的接收和發(fā)送。由設(shè)計(jì)，下列類型的ip通信被免除和無法由ipsec保護(hù)的：廣播通信來自一個(gè)發(fā)送者轉(zhuǎn)到許多接收器是未知向發(fā)送者。此類型的數(shù)據(jù)包通過ipsec過濾器能歸類。例如, 使用192.168.0.x標(biāo)準(zhǔn)c類子網(wǎng)將有192.168.0.255的廣播地址。廣播地址収決于子網(wǎng)掩碼。多播向許多接收器是未知向發(fā)送者與廣播通信，一個(gè)發(fā)送者發(fā)送ip數(shù)據(jù)包。這些是地址范幗從224.0.0.0到 239.255.255.255 屮。資源保留協(xié)議（rsvp）此通信使用ip協(xié)議46,用于提供windows 2000屮

3、服務(wù)質(zhì)量（qos）。免除的rsvp通信呈都耍求 以允許qos標(biāo)記為可能是由ipsec保護(hù)通訊。internet密鑰交換（ike）ike是由ipsec用于安全（如果篩選操作指示安全需要協(xié)商）協(xié)商安全參數(shù)和數(shù)據(jù)包匹配到篩選器后建立 共享加密密鑰協(xié)議。windows 2000總是使用用戶數(shù)據(jù)報(bào)協(xié)議（udp）源和目標(biāo)端口 500進(jìn)行ike通 信。 kerberoskerberos是核心windows 2000安全協(xié)議通常山ike用于ipsec驗(yàn)證。此通信使用udfvtcp協(xié) 議源和口標(biāo)端口 88o kerberos是本身，不需要由ipsec保護(hù)的安全協(xié)議。kerberos免除基本上是: 如果并且有源或

4、口標(biāo)端口是tcp或udp數(shù)據(jù)包=8&允許。注意:這些免除適用于ipsec傳輸模式篩選器對(duì)于數(shù)據(jù)包,有一個(gè)源地址的計(jì)算機(jī)止在發(fā)送數(shù)據(jù)包。ipsec 隧道可保護(hù)僅單播ip通信。ipsec-tunnel模式篩選也能處理多播或廣播數(shù)據(jù)包。如果kerberos. ike 或rsvp數(shù)據(jù)包是一個(gè)適配器上接收并超出英他適用器（通過使用數(shù)據(jù)包轉(zhuǎn)發(fā)或路山和遠(yuǎn)程訪問服務(wù)），路山 它們是不受ipsec tunnel -模式篩選并且可能將在隧道內(nèi)部執(zhí)行。ipsec策略組件概述ipsec策略山幾個(gè)組件組成，這些組件用于實(shí)施組織的ipsec安全耍求。下圖描繪了ipsec策略的各種組件以及它們zi'可如何關(guān)

5、聯(lián)。密鑰交換方法(ike)ipsec策略充當(dāng)一套規(guī)則的容器，這些規(guī)則確定將允許哪些網(wǎng)絡(luò)通信流以及如何允許。 每條規(guī)則11 一個(gè)篩選器列表和一個(gè)關(guān)聯(lián)操作組成。篩選器列表包含一組篩選器。當(dāng)通信流 與特定篩選器匹配時(shí)，將觸發(fā)關(guān)聯(lián)的篩選器操作。另外，規(guī)則還定義在主機(jī)之間使用哪些 身份驗(yàn)證方法。此圖以從上往下的方式描繪了策略組件。但是，建立策略最有效的方法是從篩選器和 篩選器列表開始，因?yàn)樗鼈兪强刂票Ｗo(hù)哪個(gè)通信流的基礎(chǔ)構(gòu)造塊。我們可以看到一個(gè)ipsec策略的大體構(gòu)成情況：由一或多個(gè)篩選器構(gòu)成一個(gè)篩選器 列表，對(duì)于每-個(gè)篩選器列表都有且只有一個(gè)篩選器操作與之對(duì)應(yīng)，這種一一對(duì)應(yīng)的關(guān)系就 是ipsec策略的一

6、個(gè)規(guī)則，或多個(gè)規(guī)則便構(gòu)成了一個(gè)完整的ipsec策略。當(dāng)一個(gè)通信請(qǐng) 求產(chǎn)牛時(shí)，請(qǐng)求方與被請(qǐng)求方的ip,協(xié)議，端口等信息將與篩選器列表中的篩選器逐一進(jìn) 行比照，如果與某篩選器相符合，則由ipsec策略執(zhí)行與該篩選器列表對(duì)應(yīng)的篩選器操作。rh此可見，我們?cè)谂渲胕psec策略的時(shí)候所需的工作就是一一配置篩選器列表，并 為每個(gè)列表指定一個(gè)篩選器操作tcp/ip篩選與ipsec比較tcp/ip篩選只可只設(shè)定客戶端通過幾個(gè)固定的tcp或udp端口進(jìn)行對(duì)服務(wù)器的訪問，或限定ip訪問，每增加一次就要重啟服務(wù)器一次，只能適合比較小型訪問，ipsec策略可設(shè)定即 時(shí)牛效，不用重啟服務(wù)器，可對(duì)端口或ip進(jìn)行封鎖或訪問

7、，可拒絕一些不安全端口的訪問，也可 像tcp/ip篩選一樣只設(shè)定客戶端通過幾個(gè)固定的tcp或udp端口進(jìn)行對(duì)服務(wù)器的訪問, 可選擇性要人很多，其中的許可比拒絕優(yōu)先，這樣就可以設(shè)定優(yōu)先通過某一些特定的ip,也可 設(shè)定某個(gè)ip只能訪問某個(gè)端口 z類的。tcp/ip篩選會(huì)在注冊(cè)表中的 hkeyloca !_machinesystemcontrolset001servicestcpipparameters hkeyloca l_m achinesystemcontrolset002servicestcpipparameters hkey_local_machinesystemcontrolset003

8、servicestcpipparameters屮 的enablesecurityfilters值上設(shè)定，當(dāng)為"enablesecurityfiltersn=dword:00000001,即 tcp/ip 篩選生 效，當(dāng)為"enablesecurityfiltersdwordzoooooooo,即 tcp/ip 篩選失效，如果我們用 regedit -e 導(dǎo) 出以上三個(gè)鍵值，把 enablesecurityfilters 值改成 dword:oo()()(x)(x),regedit -s 即可以使 tcp/ip 篩選失效，1psec策略就沒有這個(gè)安全隱患，而且ip策略可以備份

9、為文件方便衣不同的電 腦上使用(2k和xp或2k3使用的不同,這點(diǎn)要注意) 啟動(dòng)ipsec服務(wù)開始設(shè)置?？刂贫骞芾砉ぞ叻?wù)或者在開始運(yùn)行中輸入services.msc選擇ipsec service該項(xiàng)服務(wù)可以在windows 2000全系列/xp pro/.nct server中找到，而在xp home中 是不支持該功能的，啟動(dòng)該服務(wù)并設(shè)置啟動(dòng)類型為自動(dòng)，這樣可以保證防火墻可以隨系統(tǒng)啟 動(dòng)而啟動(dòng)，ipsec防火墻在系統(tǒng)中對(duì)應(yīng)的進(jìn)程為lsass.exe編輯ip篩選器列表篩選器川于匹配通信，它包括：1. 一個(gè)源ip地址或地址范圍2. 一個(gè)bl的ip地址或地址范圍3. 一個(gè) ip 協(xié)議,如 tcp

10、, udp 或 “any”4. 源端口和目標(biāo)端口 (僅限于tcp和udp)篩選器列表用于將多個(gè)篩選器組合在一起以便將多個(gè)ip地址和協(xié)議組合成一個(gè)h標(biāo)來 進(jìn)行處理在編輯ip篩選器列表之前，我們首先需要了解需要確保哪些通信的安全，禁止哪些通 信，以我們?cè)趇dc托管的游戲服務(wù)器為例，需要保證公司內(nèi)部與服務(wù)器間的通信，玩家與 游戲服務(wù)器之間的通信，服務(wù)器內(nèi)網(wǎng)之間的通信，根據(jù)需要的不同，這些通信需要應(yīng)用不同 的規(guī)則，例如只允許公司內(nèi)部地址使川終端連接而禁止其他川戶使川，因此要對(duì)各種通信的 雙方對(duì)象，通信內(nèi)容有系統(tǒng)的了解，據(jù)此對(duì)篩選器列表迓行編輯。在任務(wù)欄的“開始運(yùn)行”輸入secpol.msc,在“ip安

11、全策略，在本地計(jì)算機(jī)”上點(diǎn)鼠標(biāo) 右鍵選擇“管理ip篩選器表和篩選器操作"，在彈出的“管理ip篩選器表和篩選器操作”設(shè)置窗口中默認(rèn)情況下有兩項(xiàng)，一個(gè)是對(duì)所有icmp通訊量進(jìn)行過濾的，另一個(gè)是對(duì)所有ip通 訊量進(jìn)行過濾的。通過“添加”在篩選器列表中增加篩選器列表系統(tǒng)會(huì)自動(dòng)牛成-個(gè)“新ip篩選器列表”，可以根據(jù)需要命名篩選器列表（比如命名為“允許訪問主機(jī)”）并加上描述，可以將這個(gè)篩選器列表的適用范圍，功能做一簡(jiǎn)略描述，以便 于進(jìn)行ip篩選列表管理，這個(gè)描述可以在”管理ip篩選列表”里看到。我們?cè)谠摯翱谥悬c(diǎn)“添 加”按鈕繼續(xù)加一個(gè)具體的篩選器系統(tǒng)將口動(dòng)啟動(dòng)ip篩選器向?qū)АＴ谶@里我們舉例說明，

12、假設(shè)有一臺(tái)iis的web服務(wù)器 208.108.59.155并且此服務(wù)器提供的外部訪問端口是1666,并且只讓ip地址是192.168.x.x網(wǎng)段的計(jì) 算機(jī)對(duì)他進(jìn)行訪問。選擇源地址，這里源地址是指這個(gè)ip篩選器對(duì)應(yīng)的網(wǎng)絡(luò)通信的通信請(qǐng)求 的發(fā)起方，我們把管理對(duì)象設(shè)定為192.168.x.x網(wǎng)段對(duì)本機(jī)的訪問，因此源地址選擇“一個(gè) 特定的ip子網(wǎng)”，此時(shí)需要輸入子網(wǎng)的ip192.16&0.0以及子網(wǎng)掩碼255.255.255.0,點(diǎn)擊下一 步，輸入ip通信的目標(biāo)地址，這甲就是木機(jī)ip,選擇我的ip地址，隨后會(huì)出現(xiàn)通信協(xié)議選擇 窗口，在這里我們可以看到相當(dāng)多的通信協(xié)議。通過觀察可以發(fā)現(xiàn)這里包括

13、了h前所冇的協(xié)議，也就 是說，通過協(xié)議的選擇可以方便的使用ipsec來保護(hù)用于不同目的的計(jì)算機(jī)。本文中我們選擇“tcp" 協(xié)議點(diǎn)擊下一步接著點(diǎn)選“從任意端口”（子網(wǎng)主機(jī)可通過任意端口訪問）秋'到此端口”并輸入1666 （web服務(wù)器的外部訪問端口），這樣就完成了篩選器的編輯，當(dāng)192.16800網(wǎng)段的計(jì)算機(jī)請(qǐng)求訪 問此web服務(wù)器，通信流即與該篩選器匹配，將觸發(fā)關(guān)聯(lián)的篩選器操作。（在一個(gè)篩選器列表 中可以同時(shí)擁有若干篩選器，比如我們還想允許202.108.58.113訪問該web服務(wù)，在篩選 器列表屮選擇“允許訪問主機(jī)”，選擇編輯添加，后邊的步驟就和上邊的操作一樣，不同 的就

14、是在源地址中需要選擇“一個(gè)特定的ip地址”，輸入202.108.58.113。按照同樣方法可 以在篩選器列表中添加第三個(gè)，第四個(gè)第n個(gè)篩選器，冇至篩選器列表完成，但是要求 對(duì)所有篩選器操作是相同的，即同一篩選器列表對(duì)應(yīng)的所有通信要都是被允許或都被禁止 的）工作到這里并沒有完成，上面的操作只建立了允許訪問的篩選器列表，當(dāng)有非該子網(wǎng)主機(jī)發(fā)出 対web服務(wù)器202.108.59.155訪問請(qǐng)求吋，我們還要建立一個(gè)篩選器列表與之匹配，因此我們還要 建立一個(gè)阻止列表。其步驟和前而基本相同，只繪在“源地址”中要選擇“任何ip地址”，在協(xié)議中選 擇“任意”，最后完成此列表建立，并為此列表起一個(gè)名字比如“全部

15、拒絕訪問”。篩選器操作在完成了篩選器列衣建立后，我們可以考慮對(duì)篩選器列表所需耍進(jìn)行的篩選器操作了，默認(rèn)的情況下有請(qǐng)求安全，需耍安全，許可三種類型的篩選器操作（請(qǐng)求安全接受不安全的通訊，但是請(qǐng)求客 八端建立信任和安全措施。如果不被信任的客八端不響應(yīng)請(qǐng)求則使用不安全通訊；需耍安全接受不 安全的通訊，但總杲請(qǐng)求客戶端建立信任和安全措施。將不會(huì)與不被信任的客戶端通訊。這兩種操作 都屬于協(xié)商安全操作，由于我們沒有對(duì)信息進(jìn)行加密處理，這兩個(gè)選項(xiàng)將不能生效），為了限制非 192.168.0.0.了網(wǎng)主機(jī)的訪問，我們需要建立一個(gè)阻止的篩選器操作，其方法是在“管理ip篩選器表 和篩選器操作”窗口中點(diǎn)“管理篩選器

16、操作”標(biāo)簽中的“添加”按鈕，在出現(xiàn)的向?qū)е休斎牒Y選器操作名字-阻止，然后點(diǎn)擊下一步然后選擇“阻止下一步-完成就完成篩選 器操作阻止的建立了。值得說明的是，在上面的操作中，“管理ip篩選器表”和“篩選器操作”兩個(gè)模塊是各自獨(dú) 立的，一個(gè)是管理的對(duì)象一個(gè)是管理的方式。他們z間的關(guān)系我們可以打個(gè)比方:我們想要 川刀切一車西瓜，那么每個(gè)ip篩選器表就好比按不同要求挑出來的一籠西瓜，篩選器操作 就好比是幾把不同的刀，在我們動(dòng)手之前他們是不相關(guān)的.創(chuàng)建ipsec安全策略配置好ip篩選器列表和篩選器操作z后，我們就可以建立規(guī)則血故終構(gòu)成完整的ipsec 策略了。那么規(guī)則是什么？沿用z前的比方，篩選器列表是一

17、籠西瓜，篩選器操作是刀，那 么規(guī)則呢，就是確定哪籠西瓜該用哪把刀來切的過程。在任務(wù)欄的“開始運(yùn)行"輸入secpol.msc,在“ip安全策略，在本地計(jì)算機(jī)"上點(diǎn)鼠標(biāo) 右鍵選擇“創(chuàng)建ip安全策略”-下一步-策略名稱（我們暫命名mypolicy）和描述（自定） -下一步-激活默認(rèn)響應(yīng)規(guī)則，默認(rèn)響應(yīng)規(guī)則只有在該主機(jī)為域成員時(shí)才令效，這里我們可 以不選擇，點(diǎn)擊完成這樣就建立了一個(gè)新的ip安全策略，由于沒有配置任何規(guī)則，兇此還 是空策略。接下來的操作就是在策略這個(gè)規(guī)則容器里血裝入規(guī)則了編輯ip安全策略右鍵點(diǎn)擊建立的ip安全策略，選擇屬性> 下一步> （此規(guī)則不指定隧道，）

18、 下一步選擇網(wǎng)絡(luò)連接，我們選擇“所有網(wǎng)絡(luò)連接”>下一步，這里我們會(huì)看到我們所編輯 的所有篩選器列表，選擇一個(gè)篩選器列表（選一籠西瓜），我們選擇z前建立的“允許訪問 主機(jī)”下一步-> 選擇一個(gè)篩選器操作（選把刀），這里選允許-> 下一步完成。重復(fù)上述的步驟，為每一個(gè)篩選器列表都選擇一個(gè)相應(yīng)的操作，整個(gè)的規(guī)則就配置完成了.篩選器具有內(nèi)置的計(jì)算權(quán)值的算法或順序，在選擇通信流時(shí)，順序也被稱為篩選器的特定程度。權(quán)值越 大，篩選器就越特定。所有這些特處篩選器都根據(jù)它們的權(quán)值排序。篩選器權(quán)值是依次根抓篩選器中可 能定義的ip地址、協(xié)議和端口計(jì)算的。數(shù)據(jù)包首先與最特定的篩選器進(jìn)行匹配，從而最

19、人程度地縮短根 據(jù)全部篩選器處理毎個(gè)數(shù)據(jù)包所需的時(shí)間。與某個(gè)數(shù)據(jù)包相匹配的最特定篩選器所對(duì)應(yīng)的篩選器操作就是 對(duì)該數(shù)據(jù)包執(zhí)行的唯一操作?？梢远x的最具一般性的篩選器就是與任何ip地址、所冇協(xié)議和端口都匹 配的那些篩選器。我們可以通過以下四個(gè)篩選器定義來證實(shí)權(quán)值的真實(shí)存在，為了測(cè)試的方便，源地址采 用木機(jī)地址：1我的ip地址v->任何ip地址，任何協(xié)議2我的 ip 地址 <-> 172.16.0.0/255.255.0.0,任何協(xié)議3我的 ip 地址 <-> 172.16.0.0/255.255.0.0, tcp協(xié)議,3389 端口4我的 ip 地址 - 172.1

20、6.100.99, tcp 協(xié)議，3389 端口我們可以看到篩選器從1到4,其特殊性逐漸増強(qiáng)，我們依次將上述篩選器對(duì)應(yīng)操作：1.允許2禁止3. 允許.4禁止加入到策略中,加入1,對(duì)外訪問不受限;加入2后，不能訪問172.16.0.0子網(wǎng),加入3后, 僅能通過3389端口（終端）訪h 172.16.0.0子網(wǎng)以及非該子網(wǎng)主機(jī)；加入4后172.16.0.0子網(wǎng)內(nèi)除 172.16.100.99主機(jī)外可且僅可通過3389端口訪m，172.16.100.99無法通過任何方式訪問,非該子 網(wǎng)主機(jī)可任意訪問.即使改變規(guī)則的加入順序垠后得到的結(jié)果也是一樣的，可見權(quán)值是真實(shí)存在的，當(dāng)一個(gè) 通信與若干篩選器匹配的

21、時(shí)候，所激活的操作是權(quán)值最高的篩選器所對(duì)應(yīng)的操作。由于一個(gè)策略可以有若 干規(guī)則對(duì)應(yīng)的若干篩選器列表，每個(gè)篩選器列表內(nèi)可以含有若干篩選器，在實(shí)際操作中，是以篩選器為單 位進(jìn)行權(quán)值高低的排序。在我們實(shí)際應(yīng)用中對(duì)于絕人多數(shù)服務(wù)器，“任何ip地址到我的ip地址任何協(xié)議”就是可以定義的最一般 的篩選器，此篩選器通常與阻止操作配介使用以實(shí)現(xiàn)默認(rèn)行為“全部拒絕”。如果使用此篩選器來阻止全部 通信流，則其余更特定的篩選器可以被看作第一個(gè)篩選器的例外情況。我們以loginserver為實(shí)例設(shè)置一個(gè)簡(jiǎn)略的篩選器規(guī)則列表：1. 任何ip地址v - 我的ip地址，任何協(xié)議阻止2. 一個(gè)特定的ip子網(wǎng)v我的ip地址，任何協(xié)議允許3. 任何ip地址v-我的ip地址，tcp協(xié)議，5000端口 允許4. 任何ip地址v-我的ip地址，tcp協(xié)議，5001端口 允許5. 任何ip地址v-我的ip地址，tcp協(xié)議，7000端口 允許6. -個(gè)特定的ip地址v我的ip地址，tcp協(xié)議，3389端口 允許 其中2屮源地址為longin