安全經驗談系統(tǒng)安全要從定制IP策略開始

字號:

現(xiàn)如今病毒、木馬攻擊的方式是多種多樣,尤其是計算機端口更是病毒"攻占"的重點部位,你是否曾遇到這樣的情況,當我們安裝上諸如天網(wǎng)防火墻上網(wǎng)時,只見感嘆號跳個不?!?BR>    現(xiàn)如今病毒、木馬攻擊的方式是多種多樣,尤其是計算機端口更是病毒"攻占"的重點部位,你是否曾遇到這樣的情況,當我們安裝上諸如天網(wǎng)防火墻上網(wǎng)時,只見感嘆號跳個不停。打開一看都是類似于"xxx.xxx.xxx.xxx 試圖連接本機的xxx端口,該操作被拒絕"之類的操作提示,這就是一些病毒、木馬攻擊端口的表現(xiàn)。
    概念常識
    在上述情況進行解決之前,我們先要對一些常識性概念進行一番了解,尤其是涉及到端口方面的知識。什么是端口?在網(wǎng)絡技術中,端口(Port)大致有兩種意思:一是物理意義上的端口,比如,ADSL Modem、集線器、交換機、路由器用于連接其他網(wǎng)絡設備的接口,如RJ-45端口、SC端口等等。二是邏輯意義上的端口,一般是指TCP/IP協(xié)議中的端口,端口號的范圍從0到65535,比如用于瀏覽網(wǎng)頁服務的80端口,用于FTP服務的21端口等等。
    本文所講的端口指的是邏輯意義上的端口,它是計算機和外部網(wǎng)絡相連的邏輯接口,也是計算機的第一道屏障。默認情況下,Windows有很多端口是開放的,上網(wǎng)的時候,網(wǎng)絡病毒和黑客可以通過這些端口連上你的電腦。為了讓你的系統(tǒng)變?yōu)殂~墻鐵壁,我們除了一些重要的端口,如80端口為Web網(wǎng)站服務;21端口為FTP服務;25端口為E-mail SMTP服務;110端口為E-mail POP3服務;1433端口為SQL Server服務等外,一些沒有服務的端口都可以關閉,如TCP 135、139、445、593、1025 端口和 UDP 135、137、138、445 端口,一些流行病毒的后門端口(如 TCP 2745、3127、6129 端口),以及遠程服務訪問端口3389等。對于一些沒有服務的端口,除了使用一些網(wǎng)絡防火墻來關閉外,借助IP安全策略來進行關閉可以說是一個阻止入侵者入侵的好辦法,下面我們就來定制IP策略。
    了解IP安全策略
    IP安全策略是一個給予通訊分析的策略,它將通訊內容與設定好的規(guī)則進行比較以判斷通訊是否與預期相吻合,然后決定是允許還是拒絕通訊的傳輸,它彌補了傳統(tǒng)TCP/IP設計上的"隨意信任"重大安全漏洞,可以實現(xiàn)更仔細更精確的TCP/IP安全,也就是說,當我們配置好IP安全策略后,就相當于擁有了一個免費,但功能完善的個人防火墻。
    實戰(zhàn)IP安全策略
    1、 創(chuàng)建一個IP安全策略
    第一步:單擊"開始"菜單,然后選擇"設置→控制面板",在彈出的"控制面板"中,雙擊"管理工具"圖標,進入到"管理工具"中,再次雙擊其中的"本地安全策略"圖標并進入到"本地安全策略"對話框中。
    第二步:用鼠標右擊"IP安全策略",選擇"創(chuàng)建IP安全策略"命令
    在彈出的"IP安全策略向導"對話框中,單擊"下一步"按鈕,輸入IP安全策略的名稱
    如"屏蔽135端口",再次單擊"下一步"按鈕,保持默認參數(shù)設置不變,直至完成位置,這樣就創(chuàng)建出來了一個"屏蔽135端口"的安全策略,單擊"確定"按鈕返回。
    2、設置IP篩選器
    鼠標右擊"IP安全策略",選擇"管理IP篩選器和篩選器操作",進入到相應得對話框中,在"管理IP篩選器列表"頁面中,點擊"添加"按鈕,在彈出的"IP篩選器列表"中輸入名稱"屏蔽135端口",單擊"添加"按鈕,再點擊"下一步"按鈕。在目標地址中選擇"我的IP地址",點擊"下一步"按鈕,在協(xié)議中選擇"TCP"(一般選擇此項,根據(jù)具體的端口設定,如關閉ICMP協(xié)議時,這里選擇ICMP),如圖3所示,點擊"下一步"按鈕,在設置IP協(xié)議端口中選擇從任意端口到此端口,在此端口中輸入135,點擊"下一步"按鈕,即可完成屏蔽135端口的設置,單擊"確定"按鈕返回。其他端口的設置與此類似。
    3、篩選器操作
    還是在"管理IP篩選器和篩選器操作"對話框,進入到"管理篩選器操作"頁面,點擊"添加"按鈕后,再單擊"下一步"按鈕,在名稱中輸入"拒絕",點擊"下一步"按鈕。在篩選器操作中選擇"阻止"項,點擊"下一步"按鈕,這樣在管理篩選器操作中就會增加"拒絕"一項了。
    單擊"關閉"按鈕返回到"本地安全設置"對話框中。
    在"本地安全設置"對話框中雙擊左側窗口中的"IP安全策略 在本地計算機",我們可以看到右側窗口中會出現(xiàn)"屏蔽135端口"字樣,用鼠標右擊這個新建的IP安全策略"屏蔽135端口",選擇"屬性"。在規(guī)則中選擇"添加",點擊"下一步"按鈕,選擇"此規(guī)則不指定隧道",接著點擊"下一步"按鈕,在選擇網(wǎng)絡類型中選擇"所有網(wǎng)絡連接",點擊"下一步"按鈕,在IP篩選器列表中選擇"屏蔽135端口。
    點擊"下一步"按鈕,在出現(xiàn)的窗口中選中前面操作中添加的"拒絕",單擊"下一步"按鈕,這樣就將篩選器加入到了名為 "屏蔽135端口"的IP安全策略中了,單擊"確定"按鈕返回。
    4、指派
    完成了"屏蔽135端口"的IP安全策略的建立,但是在未被指派之前,它并不會起作用。用鼠標右擊"屏蔽135端口",選擇"指派"后,IP安全策略就生效了。同樣的方法還可以關閉其他的無用端口,這樣我們就親手創(chuàng)建一個了安全的網(wǎng)絡防火墻。