·	没有路由密码权限时的鸽	08-23	·	上网安全 Vista自我防范	10-11
·	让濒临崩溃的Windows XP	10-11	·	有备无患，快速自制救急	10-11
·	要你好看!Windows看图工	10-11	·	空间赞助网提供不同类型	10-11
·	讨论net.exe和net1.exe的	10-10	·	让3389远程桌面传输更通	10-10
·	巧妙入侵渗透赌博站	10-10	·	Aspx空间扫权限工具	10-10
·	Windows2003最新提权工具	10-10	·	易淘乐提供100M免费全能	10-10
·	系统开机密码忘了不着急	10-09	·	中意网络提供免费100M免	10-09
·	与众不同 Windows XP开始	10-08	·	让桌面图标翻跟斗在XP上	10-08
·	上海宽元站长资助计划-提	10-08	·	个性化Windows XP的任务	10-07
·	趣盘提供3G免费网络硬盘	10-07	·	秀山热线提供200MB免费全	10-07
·	一次艰辛的提权过程	10-06	·	成功入侵IT大卖场的渗透	10-06
·	mysqlhack- MYSQL利用工	10-06	·	lanker一句话PHP后门客户	10-06
·	WIXI提供3G免费多媒体网	10-06	·	新人网络提供100M/ftp免	10-06
·	如何利用QQ带来高流量	10-05	·	UuShare提供免费网络文件	10-05

[推荐]浅谈TCP/IP筛选与IPSec 策略

热荐 ★★★★★

浅谈TCP/IP筛选与IPSec 策略

文章整理发布：黑客风云文章来源：www.05112.com 更新时间：2007-3-22 10:26:18

配置 TCP/IP 安全:
1. 单击开始，指向设置，单击控制面板，然后双击网络和拨号连接。
2. 右键单击要在其上配置入站访问控制的接口，然后单击属性。
3. 在选定的组件被这个连接所使用框中，单击 Internet 协议 (TCP/IP)，然后单击属性。
4. 在 Internet 协议 (TCP/IP) 属性对话框中，单击高级。
5. 单击选项选项卡。
6. 单击 TCP/IP 筛选，然后单击属性。
7. 选中启用 TCP/IP 筛选(所有适配器)复选框。选中此复选框后，将对所有适配器启用筛选，但您要逐个为适配器配置筛选器。同一筛选器并不适用于所有适配器。
8. 该窗口中一共有三列，分别标记为:
TCP 端口
UDP 端口

　　IP 协议在每一列中，都必须选择下面的某个选项:

　　全部允许。如果要允许 TCP 或 UDP 通信的所有数据包，请保留全部允许处于选中状态。

　　仅允许。如果只允许选定的 TCP 或 UDP 通信，请单击仅允许，再单击添加，然后在添加筛选器对话框中键入相应的端口。

　　如果要阻止所有 UDP 或 TCP 流量，请单击仅允许，但不要在 UDP 端口或 TCP 端口列中添加任何端口号。如果您为 IP 协议选中了仅允许并排除了 IP 协议 6 和 17，并不能阻止 UDP 或 TCP 通信。

　　请注意，即使在 IP 协议列中选择了仅允许而且不添加 IP 协议 1，也无法阻止 ICMP 消息。

　　“TCP/IP 筛选”只能筛选入站流量。此功能不影响出站流量，也不影响为接受来自出站请求的响应而创建的响应端口。如果需要更好地控制出站访问，请使用 IPSec 策略或数据包筛选。

　　以下是关于IPSec 策略的官方说明

　　Internet 协议安全 (IPSec) 循序渐进指南

　　在进行IPSec完整性配置时，有两个选项 :Message Digest 5 (MD5)和安全散列算法1(Secure Hash Algorithm 1 ，简称SHA1)。后者的安全度更高，但需要更多的 CPU资源，MD5使用128位散列算法，而SHA1使用的160位算法。

　　IPsec 认证协议

　　当两个系统互相交换加密数据之前，需要相互对加密的数据包进行安全认定。这个安全认定成为安全协定(security association，简称SA)。在相互通信之前，两个系统必须认定对同一SA。

　　因特网密钥交换协议(Internet Key Exchange，简称IKE)管理着用于IPSec连接的 SA协议过程。IKE是因特网工程任务组(Internet Engineering Task Force，简称IETF)制定的关于安全协议和密钥交换的标准方法。IKE的操作分两阶段:第一阶段确保通信信道的安全，第二阶段约定SA的操作。

　　为了建立IPSec通信，两台主机在SA协定之前必须互相认证，有三种认证方法:

　　Kerberos - Kerberos v5常用于Windows Server 2003，是其缺省认证方式。 Kerberos能在域内进行安全协议认证，使用时，它既对用户的身份也对网络服务进行验证。Kerberos的优点是可以在用户和服务器之间相互认证，也具有互操作性。Kerberos可以在 Server 2003的域和使用Kerberos 认证的UNix环境系统之间提供认证服务。

　　公钥证书 (PKI) - PKI用来对非受信域的成员，非Windows客户，或者没有运行Kerberos v5 认证协议的计算机进行认证，认证证书由一个作为证书机关(CA)系统签署。

　　预先共享密钥 -在预先共享密钥认证中，计算机系统必须认同在IPSec策略中使用的一个共享密钥，使用预先共享密钥仅当证书和Kerberos无法配置的场合。

　　IPSec加密协议

　　IPSec提供三种主要加密方法，如下

　　数据加密标准 (DES 40位) - 该加密方法性能最好，但安全性较低。该 40位数据加密标准(Data Encryption Standard，简称DES)通常被称为安全套接字层(Secure Sockets Layer，简称SSL)。适用于数据安全性要求较低的场合。

　　数据加密标准 (DES 56位) - 通过IPSec策略，可以使用56位 DES的加密方法。1977年美国国家标准局公布了DES算法，它可以在通信过程中经常生成密钥。该功能可防止因为一个DES密钥被破译而整个数据集的安全受到影响。但是在商业中被认为过时了，仅用于传统的应用支持，有专门的硬件可以破译标准的 56位密钥。
　　3DES - IPSec策略可以选择一个强大的加密算法3DES，其安全性比DES更高。3DES也使用了56位密钥，但使用了三个。结果3DES成为 168位加密算法，用于诸如美国政府这样的高机密的环境中。采用该策略的所有计算机将都遵守这样的机制。

[1] [2] 下一页

文章录入：cainiaowang 责任编辑：cainiaowang

上一篇文章：教你配置Linux操作系统安全管理服务

下一篇文章：防注入代码又一方法论

【字体：小大】

中介交易区

阻止Alert攻击代码	12-14
Arp反欺骗策略	11-29
如何杜绝iframe挂马	11-29
ARP欺骗解决终极办法(传说中的虚	11-06
打造抵御SQL注入攻击的MS SQL服务	10-23
ASP木马Webshell安全解决方案	09-22
ASP登陆验证页应做的安全问题	08-25
防黑主要是日常维护的5个步骤总结	08-25
Windows Server2003安全配置整理	08-20
安全虚拟主机配置	07-18
ASP木马Webshell的安全防范解决办	06-19
CC DDOS攻击器的原理及防范方法	06-13