剔除危險(xiǎn)信息用IPsec過(guò)濾規(guī)則過(guò)濾網(wǎng)絡(luò)

IPSec協(xié)議是一個(gè)應(yīng)用十分廣泛、開(kāi)放的VPN安全協(xié)議，它是十分可行的VPN解決方案。而Windows XP及Vista操作系統(tǒng)內(nèi)置了軟防火墻，通過(guò)設(shè)置和使用防火墻，用戶(hù)可以控制計(jì)算機(jī)與互聯(lián)網(wǎng)之間的通信。用戶(hù)也可以通過(guò)使用IPsec過(guò)濾規(guī)則對(duì)用于輸入、輸出網(wǎng)絡(luò)通信的特定協(xié)議和端口組合進(jìn)行過(guò)濾，來(lái)控制進(jìn)、出計(jì)算機(jī)的數(shù)據(jù)通信。一般來(lái)說(shuō)，IPsec常被用于確保遠(yuǎn)程訪(fǎng)問(wèn)的安全，但用戶(hù)也可以將它用于防御竊聽(tīng)和惡意修改數(shù)據(jù)，保證內(nèi)部網(wǎng)絡(luò)通信安全。
    IPsec過(guò)濾規(guī)則是通過(guò)使用組策略并通過(guò)創(chuàng)建和分配一個(gè)IPsec策略來(lái)實(shí)施的，這就允許在域、站點(diǎn)或組織單元層次上來(lái)對(duì)IPsec進(jìn)行配置。第一步就是創(chuàng)建和定義過(guò)濾規(guī)則和操作，如此一來(lái)就控制了有哪些協(xié)議、端口和IP地址等是被允許或阻止的。這些規(guī)則以實(shí)現(xiàn)安全操作的策略為基礎(chǔ)，并與客戶(hù)端保持一致。要想使用IP安全策略來(lái)管理域成員的IPsec策略，用戶(hù)必須選擇管理此計(jì)算機(jī)所屬的活動(dòng)目錄域(The Active Directory Domain)。用戶(hù)可以在管理控制臺(tái)（MMC）右側(cè)窗格中的IP安全策略上右擊，并選擇管理IP過(guò)濾器列表和過(guò)濾器動(dòng)作，來(lái)增加、編輯和移除過(guò)濾器。下一步就是通過(guò)將多種IP過(guò)濾器和過(guò)濾器動(dòng)作添加到新策略中來(lái)創(chuàng)建一個(gè)IPsec策略。如果要將IP安全策略指派到組策略，選擇一個(gè)組策略對(duì)象，也就是你想要指派IP安全策略對(duì)象。下一步，展開(kāi)計(jì)算機(jī)配置視圖，單擊“IP安全策略”文件夾，在你想要指派的策略上右擊，單擊“指派”。
    Ipsec規(guī)則可以包含幾個(gè)不同過(guò)濾規(guī)則和活動(dòng)，這使它非常靈活。它能控制訪(fǎng)問(wèn)不同的域和計(jì)算機(jī)，還能用于阻止訪(fǎng)問(wèn)某些站點(diǎn)或應(yīng)用程序，如聊天室站點(diǎn)。IPsec協(xié)議還可以用于數(shù)據(jù)的保密、完整性、真實(shí)性，但它并不能保證全部網(wǎng)絡(luò)通信的安全。具體信息，請(qǐng)參考：Microsoft Knowledge Base article 253169。
    Examda提示: 在使用IPsec策略時(shí)，你需要對(duì)阻止特定端口所造成的影響有一個(gè)清晰的理解。例如，阻止端口135防止DCOM RPC漏洞就會(huì)影響活動(dòng)目錄和Exchange的功能，因?yàn)樗鼈円彩褂?35端口。因此，重要的是需要測(cè)試過(guò)濾確保你已經(jīng)完成了預(yù)定的目標(biāo)。Windows XP 的Service Pack 2 包含了一個(gè)命令行工具ipsecmd.exe,可以用于管理IPsec策略和過(guò)濾規(guī)則，不過(guò)使用起來(lái)并不太直觀(guān)?？上驳氖?，Vista已集成了防火墻過(guò)濾功能和IPsec保護(hù)設(shè)置。這些都可以使用Windows 高級(jí)安全防火墻來(lái)管理。這也就意味著你不太可能設(shè)置與IPsec策略相沖突的防火墻過(guò)濾器。
    Windows 2000/XP/2003操作系統(tǒng)提供了對(duì)IPSec協(xié)議的支持，雖然它提供的功能不是十分完善，但只要你進(jìn)行合理定制，一樣能非常有效地增強(qiáng)網(wǎng)絡(luò)安全。