TCP-IP筛选和IPSec策略.pptVIP

TCP/IP筛选和IPSec策略 万红波 烟台大学 网络中心 TCP/IP筛选 “TCP/IP 筛选”只能筛选入站流量，不影响出站流量 ，也不影响为接受来自出站请求的响应而创建的响应端口。 “TCP/IP 筛选”在“内核”模式下工作，效率比较高。 TCP/IP筛选 全部允许 如果要允许 TCP 或 UDP 通信的所有数据包，请保留全部允许处于选中状态。 仅允许 如果只允许选定的 TCP 或 UDP 通信，请单击仅允许，再单击添加，然后在添加筛选器对话框中键入相应的端口。 如果要阻止所有 UDP 或 TCP 流量，请单击仅允许，但不要在 UDP 端口或 TCP 端口列中添加任何端口号。 TCP/IP筛选 注意： 如果您为 IP 协议选中了仅允许并排除了 IP 协议 6 和 17，并不能阻止 UDP 或 TCP 通信。 在 IP 协议列中选择了仅允许而且不添加 IP 协议 1，也无法阻止 ICMP 消息。 通过Windows防火墙可以控制ICMP消息。 允许ping 不允许ping TCP/IP筛选－例子 139/445端口 SMB(Server Message Block)，Windows协议族，用于文件和打印共享服务。在Win9X/NT中SMB基于NBT实现，NBT(NetBIOS over TCP/IP)使用137, 138 (UDP) and 139 (TCP）来实现基于TCP/IP的NetBIOS网际互联；而在Win2K以后，SMB除了基于NBT的实现，还可以直接运行在TCP/IP上，而没有额外的NBT层，使用TCP445端口。 IPSec－概述 IPSec(Internet Protocol Security)是解决网络安全问题的标准。 可以构建基于操作系统的防火墙，实现一般防火墙的功能。 可以为许可通信的两个端点建立加密的、可靠的数据通道。 IPSec－概述 IPSec并不是一个单一的协议或算法，它是一系列加密实现中使用的加密标准定义的集合。 IPSec实现在IP层的安全，因而它与任何上层应用或传输层的协议无关。上层不需要知道在IP层实现的安全，所以在IP层不需要做任何修改。 IPSec－实现目标 IPSec通过使用基于密码学的保护服务、安全协议和动态密钥管理，可以实现以下这几个目标： 认证IP报文的来源 保证IP数据报的完整性 确保IP报文的内容在传输过程中未被读取 确保认证报文没有重复 IPSec－工作原理 IPSec在IP报文中使用一个新的IPSec报头来封装信息，这个过程类似于用一个正常的IP报文头封装上层的TCP或UDP信息。 新的IPSec报文包含IP报文认证的信息，原始IP报文的内容，可以根据特定应用的需求选择加密与否。 IPSec－工作模式 隧道模式 IPSec封装完整的IP数据报。 隧道模式提供了隧道点到隧道点的传输安全性。 传输模式 IPSec只封装IP数据报中上层的有效负载信息。 传输模式提供了从终端到终端的传输安全性 。 使用IP安全策略实现防火墙 新建IP安全策略 添加IP安全规则 IP筛选器列表，编辑IP筛选器 IP筛选器动作，添加IP筛选器动作 * * *