视频推广 工具是什么:创建 IPsec 策略以限制端口
Internet 协议安全性 (IPsec) 经过专门设计,可用于加密在两台计算机之间传输的数据,以避免其被修改和转译。要使用 IPsec,必须定义试图连接的计算机如何信任对方,以及计算机如何确保其通信的安全性。要实现这些规范,应创建和应用 IPsec 策略。IPsec 策略支持基于策略的监控状态的数据包筛选器规则,此规则可用于 IPsec 身份验证和加密以提供可靠的端对端安全性。
例如:创建 IPsec 策略
本部分提供了创建示例 IPsec 策略的循序渐进说明,该策略仅允许入站请求连接到端口 80 和 443。端口 80 是 HTTP 请求的默认端口,而端口 443 是 HTTPS 请求的默认端口。该策略可阻止对服务器上所有其他端口的请求。
与一般的防火墙或数据包筛选规则相比,IPsec 策略中不存在定制规则列表的方法。规则引擎根据相应的特征将通信与规则相匹配。如果某个数据包与多个规则匹配,则引擎将对数据包应用最明确的规则。在下例中,与允许连接到端口 80 的筛选器列表匹配的数据包同时也与阻止所有传入通信的筛选器列表相匹配。由于前一个列表更明确,因此规则引擎将使用该列表来进行决策。因此,将连接到端口 80 或端口 443 的通信传递给服务器,而阻止任何其他通信。您必须创建多个筛选器列表来使策略更有效。
创建 IPsec 策略的过程包含几个步骤:
- 创建 IPsec 筛选器列表。筛选器列表包括端口、协议和方向,并且当通信与列表中的某项匹配时将触发一个决策。本例要求您创建三个筛选器列表。前两个筛选器列表适用于试图连接到端口 80 或 443 的入站通信,而第三个筛选器列表则适用于所有端口。
- 设置筛选器操作。筛选器操作是当通信与筛选器列表匹配时所需的响应。本例仅使用了其 IIS IPsec 策略的允许和阻止操作。
- 创建 IPsec 策略。IPsec 策略是规则的集合,这些规则是筛选器列表与筛选器操作的相关性。在特定的时刻,您只能有一个活动策略或已分配的策略。
以下步骤适用于在 Windows Server 2003 中使用“本地安全设置”管理单元创建 IPsec 策略。您还可以对 IPsec 使用 Netsh 命令来创建 IPsec 策略。有关适用于 IPsec 的 Netsh 命令的详细信息,请参阅 IPsec。
要创建 IPsec 筛选器列表,请首先在本地计算机上更改安全设置。
创建 IPsec 筛选器列表-
从“开始”菜单中,依次指向“所有程序”、“管理工具”,然后选择“本地安全策略”。
-
在“本地安全设置”对话框中,单击“本地计算机上的 IP 安全策略”。右窗格将显示默认的 Windows Server 2003 策略。
-
右键单击右窗格,然后单击“管理 IP 筛选器表和筛选器操作”。
-
在“管理 IP 筛选器表和筛选器操作”对话框中的“管理 IP 筛选器列表”选项卡上,单击“添加”。
-
在“IP 筛选器列表”对话框的“名称”框中,为您的筛选器列表键入一个名称,如 Inbound HTTP,并根据需要键入描述。这是适用于所有入站 HTTP 连接的筛选器列表。
-
单击“添加”。此时将显示 IP 筛选器向导。创建具有以下规范的筛选器列表:
- 描述:可选项。
- 源地址:“任何 IP 地址”。
- 目标地址:“我的 IP 地址”。或者单击“一个特定的 IP 地址”,然后键入连接到 Internet 的接口的 IP 地址。
- 协议类型:TCP。
- 协议端口:“从任意端口”。
- 到此端口: 80.
- 描述:可选项。
-
在“正在完成 IP 筛选器向导”屏幕中,清除“编辑属性”复选框,然后单击“完成”。
-
在“IP 筛选器列表”对话框中,单击“确定”。
-
重复步骤 1 到 8,这次将为 HTTPS 连接创建适用于目标端口 443 的筛选器列表。将筛选器列表命名为 Inbound HTTPS 或类似的名称。
-
重复步骤 1 到 8,这次将创建适用于所有目标端口的筛选器列表。此筛选器列表将应用于阻止所有入站通信的策略。将筛选器列表命名为 All Inbound 或类似的名称。
在创建 IPsec 筛选器列表之后,必须创建当传入通信与筛选器列表中的条件匹配时将执行的筛选器操作。对于本例,必须执行两个操作。第一个是允许操作,以允许请求连接到端口 80 和 443。允许通信的操作是目前的默认值,因此您不需要创建它。您必须创建第二个操作,用于阻止与所有其他端口的通信。
设置筛选器操作-
在创建筛选器列表之后,请在“本地安全设置”对话框中,右键单击右窗格,然后单击“管理 IP 筛选器表和筛选器操作”。
-
在“管理 IP 筛选器表和筛选器操作”对话框中,单击“管理筛选器操作”选项卡,然后单击“添加”。此时将显示筛选器操作向导。
-
创建具有以下规范的筛选器操作:
- 名称:阻止
- 描述:可选
- 筛选器操作常规选项:阻止
- 名称:阻止
-
在“正在完成 IP 安全筛选器操作向导”屏幕中,清除“编辑属性”复选框,然后单击“完成”。
-
在“管理 IP 筛选器表和筛选器操作”对话框中,单击“关闭”。
在创建 IPsec 筛选器列表和筛选器操作之后,必须创建 IPsec 策略并定义将列表链接到操作的规则。
创建 IPsec 策略-
在设置筛选器操作之后,请在“本地安全设置”对话框中,右键单击右窗格,然后选择“创建 IP 安全策略”。此时将显示 IP 安全策略向导。
-
创建具有以下规范的策略:
- 名称:数据包筛选器
- 描述:可选
- 名称:数据包筛选器
-
在“安全通讯请求”屏幕中,清除“激活默认响应规则”对话框,然后单击“下一步”。
-
在“正在完成 IP 安全策略向导”屏幕中,确保已选中“编辑属性”复选框,然后单击“完成”。此时将出现“新建 IP 安全策略属性”对话框。不要关闭此对话框。
在创建 IPsec 筛选器列表、筛选器操作和 IPsec 策略之后,必须将规则添加到策略中,并将您创建的 IPsec 筛选器列表与这些规则相关联。
将规则添加到策略中-
创建 IPsec 策略之后,请在“新建 IP 安全策略属性”对话框中,单击“添加”。此时将显示安全规则向导。
-
创建具有以下规范的规则:
- 隧道终结点:“此规则不指定隧道”。
- 网络类型:“所有网络连接”。
- IP 筛选器列表:All Inbound(或适用于任何端口上入站通信的筛选器列表的名称)。
- 筛选器操作:“阻止”。
- 隧道终结点:“此规则不指定隧道”。
-
在“正在完成安全规则向导”屏幕中,清除“编辑属性”复选框,然后单击“完成”。
-
在“新建 IP 安全策略属性”对话框中,单击“关闭”。
-
重复步骤 1 到 4,以创建适用于 Inbound HTTP 和 Inbound HTTPS 筛选器列表的规则。对于这些规则,请选择“允许”筛选器操作。
在创建 IPsec 筛选器列表、筛选器操作和策略、将规则添加到策略中,并将 IPsec 筛选器列表与这些规则相关联之后,必须将 IPsec 策略分配给服务器。在任何时刻,只能分配一项策略。
分配 IPsec 策略-
在“本地安全设置”对话框中,右键单击已创建的策略,然后单击“指派”。
这时将立即应用该策略,并且 IPsec 将开始根据策略中的规则对数据包进行处理。不需要重新启动服务器。要停止该策略,请在“本地安全设置”对话框中右键单击该策略,然后单击“不指派”。