网络安全系列之二十一 配置IPSEC安全策略
1、了解IPSec安全策略
IPSec,Internet协议安全,是网络安全业内的一种开放标准,通过使用加密安全服务以确保网络通信的保密性和安全性。IPSec工作在网络层,对用户和应用程序是透明的,它可以提供对服务器的受限制的访问,可以自定义安全配置。 IPSec有两种工作模式:传输模式和隧道模式。传输模式用于保护主机到主机的通信,实现的是端到端的通信,在传输过程中对IP包头不加密,而是对数据部分进行加密;隧道模式用于保护主机和网络或者两个网络之间的通信,即实现***的功能,这种模式对整个IP数据包进行加密,对数据包进行了重新封装。
在Win2003系统中,需要在组策略中对IPSEC进行配置。打开组策略编辑器,在“计算机配置\windows设置\安全设置\IP安全策略”中可以对IPSec进行配置。
IPSec的功能是通过不同的IPSec策略实现的,在Windows系统中默认已经存在了3个IPSec策略,如图所示。
对这3个默认IPSec策略一般无需改动,绝大多数情况下都是通过建立新的IPSec策略以实现我们的要求。
下面我们以限制只有指定IP地址的客户端可以访问Win2003服务器上的远程桌面服务为例,来介绍IPSEC安全策略的配置方法。
2、限制指定客户端访问远程桌面
当我们把远程桌面服务开启后,可以方便管理远程服务器,但同时也给服务器带来了一定的威胁。为了服务器的安全,我们可以通过设置安全策略限制连接远程桌面服务的ip及网络
假设服务器的ip为192.168.100.33,为了服务器的安全,我们只允许192.168.100.34地址的连接远程桌面。
首先我们要在ip策略里新建一条策略,
进入如上图所示的ip安全策略向导,点击下一步——下一步(将策略命名为iprule),当弹出警告时,选择“是”——“下一步”。
点击“完成”,查看新建的ip策略,右击“属性”。
IPSec安全策略的功能主要是由IP安全规则实现的,在这个新建的策略里已经存在一个默认的动态规则,但并未启用。
IP安全规则又主要包括“IP筛选器列表”和“筛选器操作”两部分。
筛选器的作用是用来定义数据类型,筛选出符合要求的数据;筛选器操作则用来指定对这些筛选出来的数据进行什么操作。
所以定义IP安全规则主要分两步进行:首先定义IP筛选器,然后定义对筛选器的操作。
接下来我们要定义2条安全规则,一条规则拒绝任何ip连接到本机的3389端口,另一条规则只允许192.168.100.34这个ip连接到服务器的3389端口,这样新建的规则就会在拒绝规则的上方,实现一个ip的筛选。
首先建立拒绝任何ip连接到服务器的3389端口的规则。
点击添加按钮,打开新建规则向导。
下一步:
下一步:
选择“添加”,新建一个筛选器:
点击“添加”弹出ip筛选器列表
点击“添加”——“下一步”——“下一步”,然后在源地址栏选择“任何ip地址”
点击“下一步”,目的地址选择我的ip地址。
然后点击“下一步”,在ip协议类型选择tcp协议
点击“下一步”,把目标端口改成3389
点击“下一步”,然后点击“完成”——“确认”。
点击“确认”后,选择刚建的ip筛选列表,点击“下一步”,
弹出“ip”筛选操作。点击“添加”
点击“下一步”,给筛选器设置操作名称,
选择“阻止”,点击“下一步”
单击“完成”。
点击“完成”后,在筛选面板上选择“阻止”,单击“下一步”
点击“下一步”——然后点击“完成”。
点击“确认”后,右击“iprule”指派刚新建的策略,使其生效。
注:在指派之前打开命令行,输入services.msc,然后设置ipsec service为自动或手动,并开启服务。
指派策略:
通过上面策略创建与指派后,任何ip的端口都无法连接到服务器的3389端口,因此我们还需要新建一条规则,允许我们指定的ip访问服务器的3389端口。
双击iprule,在属性面板里添加规则。如图:
点击“下一步”直到如下图所示,添加ip筛选列表。
填写ip筛选相关信息。
点击“下一步”,然后选择指定源地址192.168.100.34
指定源地址后,点击“下一步”,选择目标地址为我的ip地址,协议为tcp,端口为3389。
目标地址:
Tcp协议:
3389端口:
点击“完成”。
返回到安全规则向导,选择刚才创建的允许指定ip访问服务器的3389端口的ip筛选列表,点击“下一步”。
选择“许可”然后“下一步”。
通过以上设置好,点击下一步,直至完成,最后查看新建好的策略。
在查看上图时,确保允许的规则在阻止规则上方,因为规则的执行是从上至下的顺序,这两条规则同时使用才能实现限制ip访问服务器远程桌面。
点击“确认”后,重启下规则,先关闭指派,再重新指派即可,至此,限制访问远程桌面服务全部完成。
举一反三,我们可以通过上面的方法,限制只允许某一个网段访问远程桌面,只需要选择源地址为某一个网段即可。
网络安全系列之二十一 配置IPSEC安全策略相关推荐
- Docker系列(二十一)——Docker实例三Docker安装Tomcat实例
< Docker实例三Docker安装Tomcat实例 > 前言 在前面一篇文章种,完成了 < Docker安装Nginx实例 >,本篇将继续镜像安装教程,并完成Docker安 ...
- Reflex WMS入门系列之二十一:关闭一个不需要的盘点
Reflex WMS入门系列之二十一:关闭一个不需要的盘点 仓库管理实践中,如果业务人员创建好了一个盘点,发现后续暂时不需要执行实际的库存清点工作,或者本次盘点因故取消,或者发现该盘点数据有误需要关闭 ...
- 【SQL开发实战技巧】系列(二十一):数据仓库中时间类型操作(进阶)识别重叠的日期范围,按指定10分钟时间间隔汇总数据
系列文章目录 [SQL开发实战技巧]系列(一):关于SQL不得不说的那些事 [SQL开发实战技巧]系列(二):简单单表查询 [SQL开发实战技巧]系列(三):SQL排序的那些事 [SQL开发实战技巧] ...
- IT职场人生系列之二十一:如何学习新语言(一)
这是IT职场人生系列的第二十一篇.(序言,专栏目录) 最近<火星人敏捷开发管理工具>接近发版了,回忆起一年半以前刚利用业余时间开工的时候,编程已经中断了7年(03年最后一次用VC++6.0 ...
- 网络安全系列之二十五 配置SSH
远程管理Windows服务器,大都借助于远程桌面:远程管理Linux服务器,则大都是通过SSH. SSH的英文全称是Secure Shell,它替代了以前的telnet远程登录工具.SSH的最大特点是 ...
- 配置IPSec安全策略
最近一个项目用到了Remoting,据说是出于安全性的考虑.但是在开发上的效率还是比较低的,也是比较复杂的.另外还有一个安全性的问题,就是Remoting所在的机器是可以直接访问DB的,而App Se ...
- Kettle系列文章二(安装配置Kettle+SqlServer+简单的输入输出作业)
一.下载 Kettle下载地址:https://community.hitachivantara.com/docs/DOC-1009855 下拉到DownLoad,点击红框中的链接进行下载.. 二.解 ...
- 单片机小白学步系列(二十一) IO口:基本的LED和按键操作
本篇我们先介绍最基础的几个IO口操作.学完本篇,大家要能自己独立完成下面几个实验. 1.点亮LED 2.一个按键控制LED,按下灯亮,释放灯灭 3.两个按键控制一个LED,一个键开灯,一个键关灯 实验 ...
- mybatis依赖_Spring Boot2 系列教程(二十一)整合 MyBatis
前面两篇文章和读者聊了 Spring Boot 中最简单的数据持久化方案 JdbcTemplate,JdbcTemplate 虽然简单,但是用的并不多,因为它没有 MyBatis 方便,在 Sprin ...
最新文章
- C语言的链表—完整代码
- 1365 浴火银河星际跳跃 (并查集)
- camel 多个 to_具有多个查询参数的Camel CXF服务
- MYSQL数据库安装记
- Spring MVC的转发与重定向
- python随笔系列--多进程多线程并发度初探
- Linux系统如何创建和挂载XFS文件系统
- mysql中添加中文存储和显示功能
- Android两种获取IP地址的方式(使用WIFI和GPRS)
- java 反射 框架_Java——利用反射实现框架类
- 台式计算机硬盘的安装位置,台式机装硬盘怎么安装_台式电脑硬盘安装教程-win7之家...
- 数据结构--最小生成树详解
- matlab对样本方差区间估计,已知样本均值和样本方差做区间估计
- java小球与小球碰撞_Java实现小球间的弹性碰撞(考虑小球质量)
- 金仓数据库字段_金仓数据库认证工程师(KCE)考试试题_含答案_
- 多元化邮件插图成鲜活生命力,助力邮件营销转化!
- 明日天津,择日来京--我回来了(九月二十日更新)
- 帝国php漏洞,帝国CMS(EmpireCMS) v7.5 后台XSS漏洞分析
- 甲骨文大数据利器:内存数据库和一体机
- Element_Table的单元格合并