IP安全策略教材課件

IP安全策略(1)使用Internet協議安全(IPSec)為網絡通信提供數據保密性、完整性、真實性和反重播保護：使用IPSec傳輸模式提供客戶機到服務器、服務器到服務器和客戶機到客戶機之間的端對端安全。使用受IPSec保護的第二層隧道協議(L2TP)保護從客戶機到網關在Internet上的遠程訪問的安全。IP安全策略(1)使用Internet協議安全(IPS1IP安全策略(2)由多條IPSec規(guī)則組成，每條規(guī)則包括:篩選器列表篩選器列表包含一個或多個預定義數據包篩選器，這些篩選器描述為該規(guī)則而配置的篩選器操作適用的通信類型。篩選器操作篩選器操作包含與篩選器列表匹配的數據包所需的操作類型（允許、阻止或協商安全）。驗證方法KerberosV5協議、證書或預先共享密鑰隧道終結點指定是否以隧道方式進行通信，如果是，則指定隧道終結點的IP地址。連接類型IP安全策略(2)由多條IPSec規(guī)則組成，每條規(guī)則包括:2IP安全策略(3)默認IP安全策略服務器(請求安全)Server(RequestSecurity)客戶端(僅響應)Client(RespondOnly)安全服務器(要求安全)SecureServer(RequireSecurity)IP安全策略(3)默認IP安全策略3IP安全策略(4)IP安全策略(4)4IP安全策略的應用僅適用于Win2000以上系統ActiveDirectory的IP安全策略本地計算機的IP安全策略只能指派一條IP安全策略IP安全策略的應用僅適用于Win2000以上系統5IP安全策略操作演示禁用ICMP協議關閉139/445端口加密數據IP安全策略操作演示禁用ICMP協議6禁用139/445端口(1)SMB(ServerMessageBlock)用于文件和打印共享服務。Windows2000以上操作系統中,SMB除了基于NBT的實現，還通過445端口實現。當client（Win2000/XP/2003,允許NBT）連接SMB服務器時，它會同時嘗試連接139和445端口，如果445端口有響應，那么就發(fā)送RST包給139端口斷開連接，以445端口通訊。當445端口無響應時,才使用139端口。當Client（Win2000/XP/2003,禁止NBT）連接SMB服務器時，那么它只會嘗試連接445端口，如果無響應，那么連接失敗。如果win2000服務器允許NBT,那么UDP端口137、138,TCP端口139、445將開放。如果NBT被禁止,那么只有445端口開放。禁用139/445端口(1)SMB(ServerMessa7禁用139/445端口(2)禁用139/445端口(2)8禁用139/445端口(3)禁用139/445端口(3)9禁用139/445端口(4)禁用139/445端口(4)10禁用139/445端口(5)禁用139/445端口(5)11禁用139/445端口(6)禁用139/445端口(6)12禁用139/445端口(7)禁用139/445端口(7)13禁用139/445端口(8)禁用139/445端口(8)14禁用139/445端口(9)禁用139/445端口(9)15禁用139/445端口(10)禁用139/445端口(10)16禁用139/445端口(11)禁用139/445端口(11)17禁用139/445端口(12)禁用139/445端口(12)18禁用139/445端口(13)禁用139/445端口(13)19禁用139/445端口(14)禁用139/445端口(14)20禁用139/445端口(15)禁用139/445端口(15)21禁用139/445端口(16)禁用139/445端口(16)22禁用139/445端口(17)禁用139/445端口(17)23禁用139/445端口(18)禁用139/445端口(18)24禁用139/445端口(19)同樣創(chuàng)建禁用445端口的“篩選器列表”和“篩選器操作”禁用139/445端口(19)同樣創(chuàng)建禁用445端口的“篩選25禁用139/445端口(20)禁用139/445端口(20)26禁用139/445端口(21)禁用139/445端口(21)27禁用139/445端口(22)禁用139/445端口(22)28禁用139/445端口(23)禁用139/445端口(23)29禁用139/445端口(24)在非域成員的計算機上，會出現圖示警告，選[是]禁用139/445端口(24)在非域成員的計算機上，會出現圖30禁用139/445端口(25)禁用139/445端口(25)31禁用139/445端口(26)為IP安全策略創(chuàng)建安全規(guī)則禁用139/445端口(26)為IP安全策略創(chuàng)建安全規(guī)則32禁用139/445端口(27)禁用139/445端口(27)33禁用139/445端口(28)禁用139/445端口(28)34禁用139/445端口(29)禁用139/445端口(29)35禁用139/445端口(30)禁用139/445端口(30)36禁用139/445端口(31)禁用139/445端口(31)37禁用139/445端口(32)如果選擇[編輯屬性]，點[完成]會出現下圖。禁用139/445端口(32)如果選擇[編輯屬性]，點[完成38禁用139/445端口(33)上圖選擇[編輯屬性]才出現。禁用139/445端口(33)上圖選擇[編輯屬性]才出現。39禁用139/445端口(33)禁用139/445端口(33)40禁用139/445端口(34)同樣創(chuàng)建禁用445端口的IP安全規(guī)則。禁用139/445端口(34)同樣創(chuàng)建禁用445端口的IP安41禁用139/445端口(35)指派IP安全策略，即時生效禁用139/445端口(35)指派IP安全策略，即時生效42禁用139/445端口(38)未禁用時，用WhoisAdmin.exe掃描的結果。禁用139/445端口(38)未禁用時，用WhoisAdmi43禁用139/445端口(39)禁用以后的掃描結果。禁用139/445端口(39)禁用以后的掃描結果。44IP安全策略(1)使用Internet協議安全(IPSec)為網絡通信提供數據保密性、完整性、真實性和反重播保護：使用IPSec傳輸模式提供客戶機到服務器、服務器到服務器和客戶機到客戶機之間的端對端安全。使用受IPSec保護的第二層隧道協議(L2TP)保護從客戶機到網關在Internet上的遠程訪問的安全。IP安全策略(1)使用Internet協議安全(IPS45IP安全策略(2)由多條IPSec規(guī)則組成，每條規(guī)則包括:篩選器列表篩選器列表包含一個或多個預定義數據包篩選器，這些篩選器描述為該規(guī)則而配置的篩選器操作適用的通信類型。篩選器操作篩選器操作包含與篩選器列表匹配的數據包所需的操作類型（允許、阻止或協商安全）。驗證方法KerberosV5協議、證書或預先共享密鑰隧道終結點指定是否以隧道方式進行通信，如果是，則指定隧道終結點的IP地址。連接類型IP安全策略(2)由多條IPSec規(guī)則組成，每條規(guī)則包括:46IP安全策略(3)默認IP安全策略服務器(請求安全)Server(RequestSecurity)客戶端(僅響應)Client(RespondOnly)安全服務器(要求安全)SecureServer(RequireSecurity)IP安全策略(3)默認IP安全策略47IP安全策略(4)IP安全策略(4)48IP安全策略的應用僅適用于Win2000以上系統ActiveDirectory的IP安全策略本地計算機的IP安全策略只能指派一條IP安全策略IP安全策略的應用僅適用于Win2000以上系統49IP安全策略操作演示禁用ICMP協議關閉139/445端口加密數據IP安全策略操作演示禁用ICMP協議50禁用139/445端口(1)SMB(ServerMessageBlock)用于文件和打印共享服務。Windows2000以上操作系統中,SMB除了基于NBT的實現，還通過445端口實現。當client（Win2000/XP/2003,允許NBT）連接SMB服務器時，它會同時嘗試連接139和445端口，如果445端口有響應，那么就發(fā)送RST包給139端口斷開連接，以445端口通訊。當445端口無響應時,才使用139端口。當Client（Win2000/XP/2003,禁止NBT）連接SMB服務器時，那么它只會嘗試連接445端口，如果無響應，那么連接失敗。如果win2000服務器允許NBT,那么UDP端口137、138,TCP端口139、445將開放。如果NBT被禁止,那么只有445端口開放。禁用139/445端口(1)SMB(ServerMessa51禁用139/445端口(2)禁用139/445端口(2)52禁用139/445端口(3)禁用139/445端口(3)53禁用139/445端口(4)禁用139/445端口(4)54禁用139/445端口(5)禁用139/445端口(5)55禁用139/445端口(6)禁用139/445端口(6)56禁用139/445端口(7)禁用139/445端口(7)57禁用139/445端口(8)禁用139/445端口(8)58禁用139/445端口(9)禁用139/445端口(9)59禁用139/445端口(10)禁用139/445端口(10)60禁用139/445端口(11)禁用139/445端口(11)61禁用139/445端口(12)禁用139/445端口(12)62禁用139/445端口(13)禁用139/445端口(13)63禁用139/445端口(14)禁用139/445端口(14)64禁用139/445端口(15)禁用139/445端口(15)65禁用139/445端口(16)禁用139/445端口(16)66禁用139/445端口(17)禁用139/445端口(17)67禁用139/445端口(18)禁用139/445端口(18)68禁用139/445端口(19)同樣創(chuàng)建禁用445端口的“篩選器列表”和“篩選器操作”禁用139/445端口(19)同樣創(chuàng)建禁用445端口的“篩選69禁用139/445端口(20)禁用139/445端口(20)70禁用139/445端口(21)禁用139/445端口(21)71禁用139/445端口(22)禁用139/445端口(22)72禁用139/445端口(23)禁用139/445端口(23)73禁用139/445端口(24)在非域成員的計算機上，會出現圖示警告，選[是]禁用139/445端口(24)在非域成員的計算機上，會出現圖74禁用139/445端口(25)禁用139/445端口(25)75禁用139/445端口(26)為IP安全策略創(chuàng)建安全規(guī)則禁用139/445端口(26)為IP安全策略創(chuàng)建安全規(guī)則76禁用139/445端口(27)禁用139/445端口(27)77禁用139/445端口(28)禁用139/445端口(28)78禁用139/445端口(29)禁用139/445端口(29)79禁用139/445端口(30)禁用139/445端口(30)80禁用139/445端口(31)禁用139/445端口(31)81禁用139/445端口(32)如果選擇[編輯屬性]，點[完成]會出現下圖。禁用139/445端口(32)如果選擇[編輯屬性]，點[完成82禁用139/445端口(33)上圖選擇[編輯屬性]才出現。禁用139/445端口(33)上圖選擇[編輯屬性]才出現。83禁用139/445端口(33)禁用139/4