如果问网络管理员如何有效的保障服务器和网络安全的话,恐怕有百分之九十的人会回答——更新补丁,在本地计算机安装防火墙。确实如此,这两个措施是最有效提高安全的方法,对于更新补丁我们只需要把windows操作系统自带的自动更新功能启用即可,相应的在本地计算机安装防火墙并配置合适的安全策略则变得有些难度。瑞星,江民等国内防火墙防护效果欠佳,而国外的norton和卡巴斯基等又占用过多的系统资源。如何选择一款适合自己的防火墙变成一件困难的事。
也许有人听说过windows系统在XP SP2和WINDOWS 2003中内置了一个防火墙,但是该防火墙功能略显不足。而今天笔者要为各位IT168读者介绍的也是windows系统中存在的可提供给我们免费使用的防火墙,他不同于往常我们所说的那个内置防火墙,但是他却可以提供更好的安全策略。他就是本文介绍的主角——ipsec。
一、IPSEC基本概念:
IPSEC在建立VPN过程中使用频率比较高,然而很多人都忽略了其包含的一个小组件——IP FILTER。IP Filter,是包含于IP Security(IPSec)中的,是Windows 2K以后新加入的技术。工作原理很简单,当接收到一个IP数据包时,ip filter使用其头部在一个规则表中进行匹配。当找到一个相匹配的规则时,ip filter就按照该规则制定的方法对接收到的IP数据包进行处理。 这里的处理工作只有两种:丢弃或转发。
如上所说,ip filter只是IPSec的一部分功能而已。对于不在domain中的个人用户,IPSec的数据加密是用不到的。所以本文主要是介绍如何用IP Filter构建防火墙,实现常用防火墙的部分功能。
二、用IP Filter当防火墙的准备工作:
由于IP Filter属于IPSec的一部分,所以在使用及配置IP Filter前需要保证IPSEC服务的正常运行。我们可以通过任务栏的“开始->运行”,输入services.msc进入服务设置窗口。在服务设置窗口中找到名为ipsec services的服务,保证他是“启动”的。(如图1)如果该服务没有启动,我们需要双击其名称,点“启动”按钮手动启动该服务,然后还需要把其启动方式设置为“自动”,这样才能保证下面设置好的IP Filter防火墙过滤信息可以随系统启动而启动,从而保证对数据包的过滤功能生效。(如图2)
小提示:如果你在服务名称中没有找到ipsec services服务也不要着急,该项服务可以在Windows 2000全系列/XP Pro/.Net Server中找到,而在XP HOME中是不支持该功能的。所以说没有找到该服务是因为你的系统不合乎要求,只能放弃了。
三、配置IP Filter:
有过配置防火墙或者过滤策略的读者在配置IP FILTER上也是非常容易上手的。配置策略和访问控制列表以及过滤规则是一样的。我们通过MMC加载IPSEC模块来实施此功能。
第一步:通过任务栏的“开始->运行”输入MMC,启动管理单元控制台窗口。(如图3)
第二步:默认情况下只有“控制台根节点”一个选项。我们通过主菜单的“文件->添加/删除管理单元”来加载IPSEC模块第三步:在出现的添加/删除管理单元窗口中我们点“添加”按钮
第四步:在添加独立管理单元选项中找到“IP安全策略管理”,点“添加”按钮进行添加
第五步:系统会要求你选择的这个管理单元要管理的计算机是哪个或者域是哪个。由于我们是对本地计算机操作,所以选上“本地计算机”后点“完成”按钮第六步:添加后我们会在控制台窗口的“控制台根节点”下看到“IP安全策略,在本地计算机”的项目第七步:在“IP安全策略,在本地计算机”上点鼠标右键选择“管理IP筛选器表和筛选器操作”开始配置我们的防火墙策略小提示:实际上我们不仅可以通过MMC加载根节点控制台的方法使用IPSEC模块,在任务栏的“开始->运行”输入secpol.msc,在打开的窗口中可以直接选择“管理IP筛选器表和筛选器操作”。这种方法更加简单快捷。
第八步:在弹出的“管理IP筛选器表和筛选器操作”设置窗口中默认情况下有两项,一个是对所有ICMP通讯量进行过滤的,另一个是对所有IP通讯量进行过滤的。我们可以通过“添加”按钮加新的规则
第九步:系统会自动生成一个名为“新IP筛选器列表”的规则,我们在该窗口中点“添加”按钮继续加一个具体的过滤项
第十一步:首先我们指定IP通讯的源地址,类似于规则中的源地址。可供我们选择的有“一个特定的IP子网络”(一个区域包括网络号和子网掩码),“一个特定的IP地址”(一个地址),“一个特定的DNS名称”(对域名进行过滤,即使他的IP是变化的),“任何IP地址”(所有IP地址),“我的IP地址”(本机IP地址)。设置完后点“下一步”继续
第十二步:接着指定IP通讯的目的地址,类似于规则中的目的地址。可供我们选择的有“一个特定的IP子网络”(一个区域包括网络号和子网掩码),“一个特定的IP地址”(一个地址),“一个特定的DNS名称”(对域名进行过滤,即使他的IP是变化的),“任何IP地址”(所有IP地址),“我的IP地址”(本机IP地址)。设置完后点“下一步”继续
第十三步:当我们想对某个域名进行过滤的时候,可以在目的地址处选择“一个特定的DNS名称”,然后在主机名处输入对应的域名。例如我们sohu.com第十四步:由于sohu.com对应的是很多的IP地址,而且是动态的IP地址。因此系统会首先查看本地DNS缓存,读取缓存中对应的IP地址进行过滤
第十五步:选择通讯协议类型,包括我们常用的TCP和UDP,还可以设置为任意V第十六步:完成IP筛选器建立向导,点“完成”按钮结束此操作第十七步:我们会在刚刚见过的IP筛选器列表窗口中看到添加的规则。由于这些规则都是在同一个筛选器中,所以规则可以同时生效
第十八步:点“添加”和“关闭”按钮保存之前的设置,我们会在“IP筛选器列表”中看到新建立的名为“新IP筛选器列表”的筛选器
小提示:默认情况下,IP Filter的作用是单方面的,比如Source: A, Destination: B,则防火墙只对A->B的流量起作用,对B->A的流量则略过不计。选中Mirror,则防火墙对A<->B的双向流量都进行处理(相当于一次添加了两条规则)。
这时我们在通过本机访问sohu.com网站时就会收到失败的回应消息。当然本次只是介绍简单过滤规则的建立方法,在实际使用中明确过滤的源地址,目的地址,使用协议后都可以使用此方法结合IPSEC中的IP Filter达到防火墙过滤非法数据包的功能。
四、IP Filter高级技巧:
(1)备份设置的过滤规则:
如果我们已经建立了很多条过滤规则如何将其保存以备后用或者其他计算机使用呢?实际上操作起来很简单,在“IP安全策略,在本地计算机”上点鼠标右键选择“所有任务”下的“导出策略”即可。当我们到其他计算机上使用“所有任务”下的“导入策略”可以实现多台计算机快速使用同一个策略的功能
(2)单防火墙也要多策略:
可能有的读者使用的是笔记本,经常在家中和公司场合交替使用,如何让IP Filter单过滤系统拥有多策略呢?也就是说在家中使用一套过滤方案,在公司使用另一套过滤方案。
方法很简单我们按照上面说的步骤在“IP筛选器列表”中建立多个筛选器即可,依次起名“公司IPSEC设置”与“家里IPSEC设置”。这样在不同场所使用不同过滤列表即可
(3)快速还原初始设置:
IP Filter有一个默认设置,当我们为IP Filter添加了这样或那样的过滤规则后发现网络无法使用了,这说明我们添加规则的时候出现了问题。如何快速解决此问题呢?一个一个的删除过滤规则是可以的,但是太麻烦了。我们完全可以通过IP Filter中的“恢复默认设置”来完成。方法是在IP安全策略,在本地计算机”上点鼠标右键选择“所有任务”下的“还原默认策略”即可。这样我们设置的所有策略都将被清空
总结:
可能有的读者会问到IPSec中的IP Filter有什么优势呢?实际上还有一个利用IP Filter的方法,桌面上右击网上邻居->属性->右击任意一块网卡->属性->TCP/IP->高级->选项->TCP/IP过滤,这里有三个过滤器,分别为:TCP端口、UDP端口和IP协议。但是这里的过滤处理感觉比较简单,适合纯粹的服务器应用,而且不能屏蔽IP地址,功能不如前面所述。 另外IPSec中的IP Filter,并不能对ICMP进行很好的处理(无法过滤/保留特定内容),如果对这方面有要求,可以使用Routing&Remote Access来处理(该组件在Server以上版本才有)。
【编辑推荐】
