制定IPSec安全性原則的注意事項

來源:互聯網
上載者:User

  慎用IPSec安全性原則“防Ping”

  使用IPSec安全性原則“防Ping”,是大家常用的一種方法,經過對IPSec安全性原則簡單的幾步配置,就可以實現防Ping的效果。該方法配置比較簡單,並且IPSec安全性原則是Windows系統內建的一個功能組件,不需要額外安裝,因此得到不少使用者的喜愛。但這裡筆者還是要提醒大家,使用IPSec安全性原則“防Ping”,還是要慎用。

  為什麼這麼說呢?首先我們看看IPSec安全性原則是如何“防Ping”的,其原理是通過建立一個IPSec策略來過濾掉本機所有的ICMP資料包實現的。這樣確實是可以有效“防Ping”,但同時也會留下後遺症。

  因為Ping命令和ICMP協議(Internet Control and Message Protocal)有著密切的關係,在ICMP協議的應用中包含有11種報文格式,其中Ping命令就是利用ICMP協議中的“Echo Request”報文進行工作的。但IPSec安全性原則防Ping時採用格殺勿論的方法,把所有的ICMP報文全部過濾掉,特別是很多有用的其它格式的報文也同時被過濾掉了。因此在某些有特殊應用的區域網路環境中,容易出現資料包丟失的現象,影響使用者正常辦公,因此筆者建議大家還是要慎用IPSec安全性原則“防Ping”。

  使用第三方防火牆工具來防範

  大家已經知道了IPSec安全性原則“防Ping”的不足之處,為了保證本地機器發出的資料包通過網路被正確的傳送給目標主機,大家可以採用別的更加有效方法,如使用網路防火牆“防Ping”。

  對於一般的上網使用者來說,使用個人網路防火牆“防Ping”是最簡單的一種方法。應用此方法“防Ping”不需要進行複雜的設定,只要您正確配置好防火牆內建的“防Ping”規則,就可以輕鬆實現“防Ping”的目的。個人網路防火牆的種類較多,幾乎都可以有效實現“防Ping”,如天網個人防火牆、瑞星個人網路防火牆、Windows防火牆(或ICF)等,下面筆者以瑞星個人網路防火牆為例,介紹如何配置防火牆實現“防Ping”目的。

  運行瑞星個人網路防火牆主程式後,在主視窗中點擊“設定→設定規則”選項,彈出“瑞星個人網路防火牆規則設定”視窗,在規則列表中一定要選中“預設的ICMP入站”規則,接著雙擊此規則,彈出“規則屬性”對話方塊(如圖1),在這裡大家可以進行詳細參數設定,在“類別”框中選中“系統”選項,“方向”框中選擇“接收”選項,“協議”框中一定要選中Ping命令使用的“ICMP”協議了,操作框中選擇“禁止”選項。這裡要注意ICMP報文類型的選擇,切換到“ICMP類型”標籤頁中,在“類型”下拉式清單方塊中一定要選擇“Echo Request”項,最後點擊“修改”按鈕,儲存設定。這樣瑞星個人網路防火牆就可以過濾掉,Ping命令所使用的名為“Echo Request”的ICMP報文了,而別的有用的ICMP報文則可以安全通過。完成以上設定後,就實現了利用個人網路防火牆有效“防Ping”的目的。

  使用“路由與遠端存取”組件

  對於區域網路使用者來說,個人網路防火牆就很難滿足他們的需要了,這時您就要使用企業級的網路防火牆“防Ping”,如ISA 2004等,但對於一些小型區域網路來說,這些企業級防火牆過於昂貴,難以接受,其實利用Windows 2000/Server 2003伺服器作業系統的“路由和遠端存取”組件就能解決這個問題,並且該組件是Windows系統內建的,不需要額外購買。

  下面我以Windows Server 2003系統為例,介紹如何利用“路由和遠端存取”組件“防Ping”。大家都知道,“路由和遠端存取”組件內建了路由表管理、VPN服務、IP報文過濾等功能,預設情況下,Windows Server 2003系統並沒有啟用路由和遠端存取服務,所以要首先手工啟用它。在Windows Server 2003閘道伺服器中,進入到“控制台→管理工具”視窗,運行“路由和遠端存取”工具,在“路由和遠端存取”主視窗中,右鍵點擊“本地”伺服器,在彈出的菜單中選擇“配置並啟用路由及遠端存取”選項,接著在“路由及遠端存取伺服器安裝嚮導”對話方塊中點擊“下一步”按鈕,選擇“自訂配置”選項,然後點擊“下一步”,在接下來的視窗中選擇“LAN路由器”選項,最後點擊“完成”按鈕。

  在“路由和遠端存取”主視窗中依次展開“IP路由選擇→常規”選項,接著在“常規”框體中右鍵點擊接入互連網的那塊網卡(如圖2),選擇“屬性”選項,然後在屬性對話方塊中點擊“入站篩選器”按鈕,彈出“入站篩選器”對話方塊後,選擇“接收所有除符合下列條件以外的資料包”選項,下面點擊“建立”按鈕,彈出“添加IP篩選器”對話方塊(如圖3),在協議下拉式清單方塊中選擇“ICMP”協議,接著在“ICMP類型”和“ICMP代碼”欄中分別輸入“8和0”,最後點擊“確定”按鈕。其中ICMP類型為“8”、ICMP代碼為“0”的報文就是Ping命令所使用的“Echo Request”報文,最後點擊“確定”按鈕,完成“防Ping”設定。

  以上我介紹了幾種不同的“防Ping”方法,分別適用於不同的網路環境,如果您感興趣的話,不妨試試。

  圖1 設定瑞星個人防火牆

  圖2 選擇連通網路的網卡

  圖3 添加IP篩選器

相關文章

Beyond APAC's No.1 Cloud

19.6% IaaS Market Share in Asia Pacific - Gartner IT Service report, 2018

Learn more >

Apsara Conference 2019

The Rise of Data Intelligence, September 25th - 27th, Hangzhou, China

Learn more >

Alibaba Cloud Free Trial

Learn and experience the power of Alibaba Cloud with a free trial worth $300-1200 USD

Learn more >

聯繫我們

該頁面正文內容均來源於網絡整理,並不代表阿里雲官方的觀點,該頁面所提到的產品和服務也與阿里云無關,如果該頁面內容對您造成了困擾,歡迎寫郵件給我們,收到郵件我們將在5個工作日內處理。

如果您發現本社區中有涉嫌抄襲的內容,歡迎發送郵件至: info-contact@alibabacloud.com 進行舉報並提供相關證據,工作人員會在 5 個工作天內聯絡您,一經查實,本站將立刻刪除涉嫌侵權內容。