TCP/IP篩選VSIPSec策略

TCP/IP 安全：

1. 單擊開始，指向設定，單擊控制臺，然後雙擊網路和撥號連線。

2. 右鍵單擊要在其上配置入站訪問控制的接口，然後單擊屬性。

3. 在選定的組件被這個連線所使用框中，單擊 Internet 協定 (TCP/IP)，然後單擊屬性。

4. 在 Internet 協定 (TCP/IP) 屬性對話框中，單擊高級。

5. 單擊選項選項卡。

6. 單擊 TCP/IP 篩選，然後單擊屬性。

7. 選中啟用 TCP/IP 篩選（所有適配器）複選框。選中此複選框後，將對所有適配器啟用篩選，但您要逐個為適配器配置篩選器。同一篩選器並不適用於所有適配器。

8. 該視窗中一共有三列，分別標記為：

TCP 連線埠

UDP 連線埠

IP 協定在每一列中，都必須選擇下面的某個選項：

全部允許。如果要允許 TCP 或 UDP 通信的所有數據包，請保留全部允許處於選中狀態。

僅允許。如果只允許選定的 TCP 或 UDP 通信，請單擊僅允許，再單擊添加，然後在添加篩選器對話框中鍵入相應的連線埠。

如果要阻止所有 UDP 或 TCP 流量，請單擊僅允許，但不要在 UDP 連線埠或 TCP 連線埠列中添加任何連線埠號。如果您為 IP 協定選中了僅允許並排除了 IP 協定 6 和 17，並不能阻止 UDP 或 TCP 通信。

請注意，即使在 IP 協定列中選擇了僅允許而且不添加 IP 協定 1，也無法阻止 ICMP 訊息。

“TCP/IP 篩選”只能篩選入站流量。此功能不影響出站流量，也不影響為接受來自出站請求的回響而創建的回響連線埠。如果需要更好地控制出站訪問，請使用 IPSec 策略或數據包篩選。

在進行IPSec完整性配置時，有兩個選項 ：Message Digest 5 (MD5)和安全散列算法1（Secure Hash Algorithm 1 ，簡稱SHA1）。後者的安全度更高，但需要更多的 CPU資源，MD5使用128位散列算法，而SHA1使用的160位算法。

當兩個系統互相交換加密數據之前，需要相互對加密的數據包進行安全認定。這個安全認定成為安全協定（security association，簡稱SA）。在相互通信之前，兩個系統必須認定對同一SA。

網際網路密鑰交換協定（Internet Key Exchange，簡稱IKE）管理著用於IPSec連線的 SA協定過程。IKE是網際網路工程任務組（Internet Engineering Task Force，簡稱IETF）制定的關於安全協定和密鑰交換的標準方法。IKE的操作分兩階段：第一階段確保通信信道的安全，第二階段約定SA的操作。

為了建立IPSec通信，兩台主機在SA協定之前必須互相認證，有三種認證方法：

Kerberos - Kerberos v5常用於Windows Server 2003，是其預設認證方式。 Kerberos能在域內進行安全協定認證，使用時，它既對用戶的身份也對網路服務進行驗證。Kerberos的優點是可以在用戶和伺服器之間相互認證，也具有互操作性。Kerberos可以在 Server 2003的域和使用Kerberos 認證的UNix環境系統之間提供認證服務。

公鑰證書 (PKI) - PKI用來對非受信域的成員，非Windows客戶，或者沒有運行Kerberos v5 認證協定的計算機進行認證，認證證書由一個作為證書機關（CA）系統簽署。

預先共享密鑰 -在預先共享密鑰認證中，計算機系統必須認同在IPSec策略中使用的一個共享密鑰 ，使用預先共享密鑰僅當證書和Kerberos無法配置的場合。

IPSec提供三種主要加密方法，如下

數據加密標準 (DES 40位) - 該加密方法性能最好，但安全性較低。該 40位數據加密標準（Data Encryption Standard，簡稱DES）通常被稱為 安全套接字層（Secure Sockets Layer，簡稱SSL）。適用於數據安全性要求較低的場合。

數據加密標準 (DES 56位) - 通過IPSec策略，可以使用56位 DES的加密方法。1977年美國國家標準局公布了DES算法，它可以在通信過程中經常生成密鑰。該功能可防止因為一個DES密鑰被破譯而整個數據集的安全受到影響。但是在商業中被認為過時了，僅用於傳統的套用支持，有專門的硬體可以破譯標準的 56位密鑰。

3DES - IPSec策略可以選擇一個強大的加密算法3DES，其安全性比DES更高。3DES也使用了56位密鑰，但使用了三個。結果3DES成為 168位加密算法，用於諸如美國政府這樣的高機密的環境中。採用該策略的所有計算機將都遵守這樣的機制。

IPSec可以在兩種不同的模式下運作：傳輸模式和隧道模式。這些模式指的是數據在網路中是如何傳送和加密的。在傳輸模式下，IPSec的保護貫穿全程：從源頭到目的地，被稱為提供終端到終端的傳輸安全性 。

隧道模式僅僅在隧道點或者網關之間加密數據。隧道模式提供了網關到網關的傳輸安全性。當數據在客戶和伺服器之間傳輸時，僅當數據到達網關時才得到加密，其餘路徑不受保護。一旦到達網關，就採用IPSec進行加密，等到達目的網關之後，數據包被解密和驗證，之後數據傳送到不受保護的目的主機。隧道模式通常適用於數據必須離開安全的LAN或者WAN的範圍，且在諸如網際網路這樣的公共網路中傳輸的場合。

TCP/IP篩選只可只設定客戶端通過幾個固定的TCP或UDP連線埠進行對伺服器的訪問,或限定IP訪問,每增加一次就要重啟伺服器一次,只能適合比較小型訪問,原來我為了讓Serv_u能進行正常訪問,加了N個連線埠,累的要死。

IPSec 策略可設定即時生效,不用重啟伺服器,可對連線埠或IP進行封鎖或訪問,可拒絕一些不安全連線埠的訪問,也可像TCP/IP篩選一樣只設定客戶端通過幾個固定的TCP或UDP連線埠進行對伺服器的訪問,可選擇性要大很多,其中的許可比拒絕優先,這樣就可以設定優先通過某一些特定的IP,也可設定某個IP只能訪問某個連線埠之類的,只要你有想像力,哈哈,就很簡單了,這裡我寫的都是一些知識,沒有寫操作步驟,因為操作很簡單,只要說一下原理,懂原理比操作更快

如安全方面的話,TCP/IP篩選會在註冊表中的

HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\Tcpip\Parameters

HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Services\Tcpip\Parameters

HKEY_LOCAL_MACHINE\SYSTEM\ControlSet003\Services\Tcpip\Parameters

中的EnableSecurityFilters值上設定,當為"EnableSecurityFilters"=dword:00000001,即TCP/IP篩選生效,當為"EnableSecurityFilters"=dword:00000000,即TCP/IP篩選失效,這樣就給我們一個漏洞了,用regedit -e導出以上三個鍵值,把EnableSecurityFilters值改成dword:00000000,regedit -s,嘻嘻,你設的再多也等於零。

IPSec 策略就沒有這個安全隱患,上面還有IPSec 策略的一些加密說明,安全吧??!!而且IP策略可以備份為檔案方便在不同的電腦上使用,不過2K和XP或2K3使用的不同,這點到是要注意一下

說明一下,這些設定只是針對連線埠或IP進行管理的,沒什麼很高深的東西,而且有一些功能是無法進行設定的(如果什麼都能設定的話,那還需要防火牆做什麼),但這是WEB伺服器的第一道關口,如果不設定好的話,後面很容易出問題的,我剛給出的只是一個例子,破TCP/IP篩選有幾種方法,這裡就不好說明了,總結一下,TCP/IP篩選只是開胃菜,IPSec 策略是紅酒,防火牆是麵包,防火牆是主菜(硬體級的),一樣也不能少,都要做好設定,那就這樣,回頭見啦...