浅谈TCP IP筛选与IPSec策略.docVIP

浅谈TCP IP筛选与IPSec策略 浅谈TCP/IP筛选与IPSec策略2010-04-21 21：45浅谈TCP/IP筛选与IPSec策略 ZDNet网络频道2008-09-04 it168来源：it168 配置TCP/IP安全： 1.单击开始，指向设置，单击控制面板，然后双击网络和拨号连接。 2.右键单击要在其上配置入站访问控制的接口，然后单击属性。 3.在选定的组件被这个连接所使用框中，单击Internet协议(TCP/IP)，然后单击属性。 4.在Internet协议(TCP/IP)属性对话框中，单击高级。 5.单击选项选项卡。 6.单击TCP/IP筛选，然后单击属性。 7.选中启用TCP/IP筛选(所有适配器)复选框。选中此复选框后，将对所有适配器启用筛选，但您要逐个为适配器配置筛选器。同一筛选器并不适用于所有适配器。 8.该窗口中一共有三列，分别标记为： TCP端口 UDP端口 IP协议在每一列中，都必须选择下面的某个选项： 全部允许。如果要允许TCP或UDP通信的所有数据包，请保留全部允许处于选中状态。 仅允许。如果只允许选定的TCP或UDP通信，请单击仅允许，再单击添加，然后在添加筛选器对话框中键入相应的端口。 如果要阻止所有UDP或TCP流量，请单击仅允许，但不要在UDP端口或TCP端口列中添加任何端口号。如果您为IP协议选中了仅允许并排除了IP协议6和17，并不能阻止UDP或TCP通信。 请注意，即使在IP协议列中选择了仅允许而且不添加IP协议1，也无法阻止ICMP消息。 TCP/IP筛选只能筛选入站流量。此功能不影响出站流量，也不影响为接受来自出站请求的响应而创建的响应端口。如果需要更好地控制出站访问，请使用IPSec策略或数据包筛选。 以下是关于IPSec策略的官方说明 Internet协议安全(IPSec)循序渐进指南 在进行IPSec完整性配置时，有两个选项：Message Digest 5(MD5)和安全散列算法1(Secure Hash Algorithm 1，简称SHA1)。后者的安全度更高，但需要更多的CPU资源，MD5使用128位散列算法，而SHA1使用的160位算法。 IPsec认证协议 当两个系统互相交换加密数据之前，需要相互对加密的数据包进行安全认定。这个安全认定成为安全协定(security association，简称SA)。在相互通信之前，两个系统必须认定对同一SA。 因特网密钥交换协议(Internet Key Exchange，简称IKE)管理着用于IPSec连接的SA协议过程。IKE是因特网工程任务组(Internet Engineering Task Force，简称IETF)制定的关于安全协议和密钥交换的标准方法。IKE的操作分两阶段：第一阶段确保通信信道的安全，第二阶段约定SA的操作。 为了建立IPSec通信，两台主机在SA协定之前必须互相认证，有三种认证方法： Kerberos-Kerberos v5常用于Windows Server 2003，是其缺省认证方式。Kerberos能在域内进行安全协议认证，使用时，它既对用户的身份也对网络服务进行验证。Kerberos的优点是可以在用户和服务器之间相互认证，也具有互操作性。Kerberos可以在Server 2003的域和使用Kerberos认证的UNix环境系统之间提供认证服务。 公钥证书(PKI)-PKI用来对非受信域的成员，非Windows客户，或者没有运行Kerberos v5认证协议的计算机进行认证，认证证书由一个作为证书机关(CA)系统签署。 预先共享密钥-在预先共享密钥认证中，计算机系统必须认同在IPSec策略中使用的一个共享密钥，使用预先共享密钥仅当证书和Kerberos无法配置的场合。 IPSec加密协议 IPSec提供三种主要加密方法，如下 数据加密标准(DES 40位)-该加密方法性能最好，但安全性较低。该40位数据加密标准(Data Encryption Standard，简称DES)通常被称为安全套接字层(Secure Sockets Layer，简称SSL)。适用于数据安全性要求较低的场合。 数据加密标准(DES 56位)-通过IPSec策略，可以使用56位DES的加密方法。1977年美国国家标准局公布了DES算法，它可以在通信过程中经常生成密钥。该功能可防止因为一个DES密钥被破译而整个数据集的安全受到影响。但是在商业中被认为过时了，仅用于传统的应用支持，有专门的硬件可以破译标准的56位密钥。 3DES-IPSec策略可以选择一个强大的加密算法3DES，其安全性比DES更高。3DES也使用了56位密钥，但使用了三个。结果3DES成为168位加密算法，用于诸如美国政府这样的高机密的环境