如何利用IP安全管理策略进行安全漏洞防护

何谓“IP 安全管理策略”？

Windows Internet 协议安全 (IPSec)，这是一种用来保护内部网、专用网络、外部网 (Internet、Extranet) 免遭攻击的重要防御方法。

IPSec 用来对两台计算机之间传输的数据进行加密，防止在网上看到它的人对它进行更改和破译。管理员必须首先定义两台计算机相互信任的方式，然后指定这两台计算机保证它们之间通信安全的方式。

通信主体机器必须开通 IPSEC Policy Agent（PolicyAgent）服务。

一台机器同一时刻仅能够指派一个安全策略。

一个IP安全策略可以指定多个IP规则。

IP筛选器

IP筛选器是对IP访问数据传输的安全需求描述。一般指定IP的源和目标，包含端口、协议类型等的定义。制定了IP筛选器，即表明要对特定的（符合筛选器描述）IP流量进行特殊控制。

IP筛选器列表

一组（一个或多个）IP筛选器构成IP筛选器列表

IP安全规则

对IP筛选器列表的访问控制设定为制定IP安全规则。

IP规则包括：

              IP筛选器列表

              筛选器操作

              身份验证方法

              连接类型

              隧道方法

筛选器的操作通常有：

       请求安全设置

              如果筛选器操作选择此项，那么通信时：

接受没有加密的通讯，但采用IPSec请求客户端建立信任和安全方法。如果客户端没有响应请求，会与不受信任的客户端进行不加密的通讯。

       要求安全设置

接受没有加密的通讯，但总是要求客户端建立信任和安全方法。不与不受信任的客户端通讯。

       允许

              允许没有安全措施的 IP 数据包通过。也就是没有采用IPSec任何过滤措施。

解读：

       如果

下面考虑如何利用IP安全策略来提高服务器安全。

考虑一台没有配备任何防火墙/反黑软件的web服务器，开了ftp服务，我们想将此服务器的80、21以外的端口关闭，但是开放的端口需要授权才可连接。

授权分为2步：

1、  首先是IPSec服务需要可用，需要启动IPSec的服务

2、  屏蔽掉无关端口，开80 21 20(ftp 可能需要20端口)，通过网卡TCP/IP属性的高级选项进入

3、  准备IP筛选器，建立任何IP到本服务器的20 21端口的连接筛选，构成一个IP筛选器，取名为“ftp IP筛选”

4、  建立新的“IP安全策略”，取名为“仅开FTP的安全策略”

5、  选择使用预先设定的密码，输入“CBIQ”或其他密码

6、  然后添加 IP安全规则，也选择预先设定的密码

7、  选择“要求安全设置”，以让ftp端口的通信采用密码进行

8、  保存

9、  如果其他端口也需要密码，也如此进行

10、              指派 “仅开FTP的安全策略”的安全策略

客户端，也需要进行到特定服务器的通信筛选器，指派后即可连接。

需要注意的是，FTP有PSAV和非PSAV模式，需要对server同客户端同步设定。