制定IPSec安全策略的注意事项

  慎用IPSec安全策略“防Ping”

  使用IPSec安全策略“防Ping”,是大家常用的一种方法,经过对IPSec安全策略简单的几步配置,就可以实现防Ping的效果。该方法配置比较简单,并且IPSec安全策略是Windows系统内置的一个功能组件,不需要额外安装,因此得到不少用户的喜爱。但这里笔者还是要提醒大家,使用IPSec安全策略“防Ping”,还是要慎用。

  为什么这么说呢?首先我们看看IPSec安全策略是如何“防Ping”的,其原理是通过新建一个IPSec策略来过滤掉本机所有的ICMP数据包实现的。这样确实是可以有效的“防Ping”,但同时也会留下后遗症。

  因为Ping命令和ICMP协议(Internet Control and Message Protocal)有着密切的关系,在ICMP协议的应用中包含有11种报文格式,其中Ping命令就是利用ICMP协议中的“Echo Request”报文进行工作的。但IPSec安全策略防Ping时采用格杀勿论的方法,把所有的ICMP报文全部过滤掉,特别是很多有用的其它格式的报文也同时被过滤掉了。因此在某些有特殊应用的局域网环境中,容易出现数据包丢失的现象,影响用户正常办公,因此笔者建议大家还是要慎用IPSec安全策略“防Ping”。

  使用第三方防火墙工具来防范

  大家已经知道了IPSec安全策略“防Ping”的不足之处,为了保证本地机器发出的数据包通过网络被正确的传送给目标主机,大家可以采用别的更加有效的方法,如使用网络防火墙“防Ping”。

  对于一般的上网用户来说,使用个人网络防火墙“防Ping”是最简单的一种方法。应用此方法“防Ping”不需要进行复杂的设置,只要您正确配置好防火墙内置的“防Ping”规则,就可以轻松实现“防Ping”的目的。个人网络防火墙的种类较多,几乎都可以有效实现“防Ping”,如天网个人防火墙、瑞星个人网络防火墙、Windows防火墙(或ICF)等,下面笔者以瑞星个人网络防火墙为例,介绍如何配置防火墙实现“防Ping”目的。

  运行瑞星个人网络防火墙主程序后,在主窗口中点击“设置→设置规则”选项,弹出“瑞星个人网络防火墙规则设置”窗口,在规则列表中一定要选中“缺省的ICMP入站”规则,接着双击此规则,弹出“规则属性”对话框(如图1),在这里大家可以进行详细参数设置,在“类别”框中选中“系统”选项,“方向”框中选择“接收”选项,“协议”框中一定要选中Ping命令使用的“ICMP”协议了,操作框中选择“禁止”选项。这里要注意ICMP报文类型的选择,切换到“ICMP类型”标签页中,在“类型”下拉列表框中一定要选择“Echo Request”项,最后点击“修改”按钮,保存设置。这样瑞星个人网络防火墙就可以过滤掉,Ping命令所使用的名为“Echo Request”的ICMP报文了,而别的有用的ICMP报文则可以安全通过。完成以上设置后,就实现了利用个人网络防火墙有效“防Ping”的目的。

  使用“路由与远程访问”组件

  对于局域网用户来说,个人网络防火墙就很难满足他们的需要了,这时您就要使用企业级的网络防火墙“防Ping”,如ISA 2004等,但对于一些小型局域网来说,这些企业级防火墙过于昂贵,难以接受,其实利用Windows 2000/Server 2003服务器操作系统的“路由和远程访问”组件就能解决这个问题,并且该组件是Windows系统内置的,不需要额外购买。

  下面我以Windows Server 2003系统为例,介绍如何利用“路由和远程访问”组件“防Ping”。大家都知道,“路由和远程访问”组件内置了路由表管理、VPN服务、IP报文过滤等功能,默认情况下,Windows Server 2003系统并没有启用路由和远程访问服务,所以要首先手工启用它。在Windows Server 2003网关服务器中,进入到“控制面板→管理工具”窗口,运行“路由和远程访问”工具,在“路由和远程访问”主窗口中,右键点击“本地”服务器,在弹出的菜单中选择“配置并启用路由及远程访问”选项,接着在“路由及远程访问服务器安装向导”对话框中点击“下一步”按钮,选择“自定义配置”选项,然后点击“下一步”,在接下来的窗口中选择“LAN路由器”选项,最后点击“完成”按钮。

  在“路由和远程访问”主窗口中依次展开“IP路由选择→常规”选项,接着在“常规”框体中右键点击接入互联网的那块网卡(如图2),选择“属性”选项,然后在属性对话框中点击“入站筛选器”按钮,弹出“入站筛选器”对话框后,选择“接收所有除符合下列条件以外的数据包”选项,下面点击“新建”按钮,弹出“添加IP筛选器”对话框(如图3),在协议下拉列表框中选择“ICMP”协议,接着在“ICMP类型”和“ICMP代码”栏中分别输入“8和0”,最后点击“确定”按钮。其中ICMP类型为“8”、ICMP代码为“0”的报文就是Ping命令所使用的“Echo Request”报文,最后点击“确定”按钮,完成“防Ping”设置。

  以上我介绍了几种不同的“防Ping”方法,分别适用于不同的网络环境,如果您感兴趣的话,不妨试试。


  图1 设置瑞星个人防火墙


  图2 选择连通网络的网卡


  图3 添加IP筛选器

时间: 2024-11-03 21:22:21

制定IPSec安全策略的注意事项的相关文章

2台主机之间建立IPsec安全策略

问题描述 我的虚拟机是windowsserver2003的,名字叫JL,我和一个同是server2003的主机之间建立IPsec安全策略,在JL的控制台上添加"IP安全监视器"时,出现如下所示的错误,但是在那另一台主机上用netview命令也能查看JL上共享的东西,完全没错!这是怎么回事啊?IP安全监视器:与服务器JL联系时,出现了以下错误:出现了特定的安全软件包错误 解决方案 解决方案二:这个没有试过待高手解析呵呵解决方案三:DDDDDDDDDD

安全工具netsh IPSec使用方法[ip安全策略]_DOS/BAT

netsh ipsec 使用方法 在命令行下,通过netsh ipsec static来配置IPSEC安全策略.前提是IPSEC服务已经打开. 一个IPSEC由一个或者多个规则组成:一个规则有一个IP筛选器列表和一个相应的筛选器操作组成:这个筛选器列表和筛选器可以是系统本身所没有的,如果没有则需要自行建立,而一个筛选器又由一个或多个筛选器组成,因此配置IPSEC的时候必须分步进行.规则由筛选器列表和筛选器操作构成.而且存放在策略里,策略器由策略器列表来存储,这样就决定了一个步骤:建立空的安全策略

《网络安全体系结构》一2.2 什么是安全策略

2.2 什么是安全策略 网络安全体系结构本节将提供安全策略的现行定义,并讨论作为安全系统设计人员应该考虑的关键策略.RFC(Request for Comment)2196"Site Security Handbook"所定义的安全策略如下: 安全策略是获准使用组织机构技术和信息资产的人员所必须遵守的准则的正规陈述. 这个定义与安全系统设计人员或操作人员必须履行的职责之间有何关联?如果一个人的职责是保障网络"安全",那么这个人应该是安全策略最坚定的提倡者之一.原因有

《网络安全体系结构》一第2章 安全策略与运行生命周期

第2章 安全策略与运行生命周期 网络安全体系结构"策略是一种易于变化的临时信条,必须以圣徒般的热情才能得到贯彻."-莫汉达斯 • K • 甘地(Mohandas K. Gandhi)于1922年3月8日致印度国大党总书记的信 "你执行政策.我来玩政治."-美国副总统丹 • 奎尔(1988-1992)对其助手说,摘录于国际先驱论坛报,巴黎,1992年1月13日 目前,许多安全领域的人士都将安全策略视为不可避免的麻烦.但是,关于安全策略,究竟是什么让我们(包括我自己)充

企业路由器IPSEC VPN配置方法详解

需求介绍 某公司总公司位于深圳,在北京.上海.广州三地有分公司,现需要组建一个网络,要求实现分公司都能够安全的访问公司内部邮件服务器和文件服务器,本文将通过一个实例来展示TL-ER6120的解决方案和配置过程. 网络规划 深圳总公司局域网网段为"192.168.0.0/24": 北京分公司为"192.168.1.0/24": 上海分公司为"192.168.2.0/24": 广州分公司为"192.168.3.0/24". 拓扑如

tplink[WVR系列] IPSec VPN设置指南

应用介绍 IPSec VPN可以用于建立两个站点之间的安全隧道,经常用于企业总部和分支机构的网络对接.本文以某公司北京总部与广州分部需要搭建安全隧道为例,介绍使用WVR系列企业级无线路由器搭建IPSec VPN的设置方法. 注意:以上参数仅供举例,配置时请以实际网络参数为准. 注意:下面介绍的是WVR新版本界面,如果您的路由器是老版本界面,请在服务支持搜索路由器的型号,查看对应设置文档.   设置方法 1.设置总部路由器的IPSec安全策略 进入 VPN > IPSec > IPSec安全策略

tplink[TL-ER7520G] IPSec VPN设置手册

应用介绍   IPSec VPN可以用于建立两个站点之间的安全隧道,经常用于企业总部和分支机构的网络对接.本文以某公司北京总部与广州分部需要搭建安全隧道为例,介绍使用TL-ER7520G搭建IPSec VPN的设置方法.     注意:以上参数仅供举例,配置时请以实际网络参数为准.   设置方法   根据站点使用的路由器和组网方式不同,我们按照以下分类介绍各情况下的设置方法:   类型一. 总部和分部都使用TL-ER7520G   该类型下,确保总部和分部的路由器均连接宽带上网正常,按照以下方法

【转】ipseccmd IP安全策略命令解析

from:http://www.jb51.net/softjc/32394.html 点评:首先需要指出的是,IPSec和TCP/IP筛选是不同的东西,大家不要混淆了.TCP/IP筛选的功能十分有限,远不如IPSec灵活和强大.下面就说说如何在命令行下控制IPSec. IPSec 首先需要指出的是,IPSec和TCP/IP筛选是不同的东西,大家不要混淆了.TCP/IP筛选的功能十分有限,远不如IPSec灵活和强大.下面就说说如何在命令行下控制IPSec.  XP系统用ipseccmd 本站附件下

linux 内核与用户空间通信之netlink使用方法

Linux中的进程间通信机制源自于Unix平台上的进程通信机制.Unix的两大分支AT&T Unix和BSD Unix在进程通信实现机制上的各有所不同,前者形成了运行在单个计算机上的System V IPC,后者则实现了基于socket的进程间通信机制.同时Linux也遵循IEEE制定的Posix IPC标准,在三者的基础之上实现了以下几种主要的IPC机制:管道(Pipe)及命名管道(Named Pipe),信号(Signal),消息队列(Message queue),共享内存(Shared M