如何配置TCP/IP安全网络技术
如何配置TCP / IP安全,以下是基于2000的,下面的XP和2K3,跟着读,每个人的小编辑。配置TCP/IP安全性:
1。单击开始,指向设置,单击控制面板,双击网络和拨号连接。
2。右击可在其上配置入站访问控制接口,然后单击属性。
三.在选定的组件中,在这个连接中使用的框中,单击Internet协议(TCP / IP),然后单击属性。
4。在Internet协议(TCP / IP)属性对话框中,单击高级。
5。单击选项选项卡。
6。单击TCP/IP来过滤,然后单击属性。
7。选中启用TCP/IP筛选器(所有适配器)复选框。选中此复选框时,将为所有适配器启用筛选器,但您将一个接一个地配置适配器的筛选器。相同的筛选器不适用于所有适配器。
8。窗口中有三列,它们被标记为:
TCP端口
UDP端口
在每个列中,IP协议必须选择下列选项之一:
如果允许在TCP或UDP通信中允许所有包,请保留所选状态中的所有允许状态。
仅允许。如果只允许选定的TCP或UDP通信,请单击允许,然后单击添加,然后在添加筛选器对话框中键入相应的端口。
如果要阻止所有UDP或TCP通信,只需单击允许,但不要在UDP端口或TCP端口列中添加任何端口号。如果您只选择并排除IP协议的IP协议6和17,则不能阻止UDP或TCP通信。
请注意,即使您只选择并不在IP协议列中添加IP协议1,ICMP消息也不能被阻止。
该过滤器只对入站流量进行过滤。此功能不影响出站流量,也不会影响创建响应端口来接受来自出站请求的响应。如果需要更好地控制出站访问,请使用IPSec策略或包过滤器。
在IPSec配置完整,有两种选择:消息摘要5(MD5)和安全哈希算法(hash算法1 1、安全的简称)。后者是更安全,但需要更多的CPU资源,使用128位MD5哈希算法采用SHA1算法的160点。
IPSec协议
在两个系统交换加密数据之前,它们需要确保彼此的加密数据包,这种安全被标识为一个安全关联(SA),在相互通信之前,必须用同一个SA来识别这两个系统。
因特网密钥交换协议(Internet Key Exchange,简称IKE)管理connections.ike IPSec SA协议是安全协议和密钥交换由互联网工程任务组(IETF)提出的一种标准方法。IKE的操作分为两个阶段:第一阶段确保通信信道的安全,第二阶段指定SA操作。
为了建立IPSec通信,两个主机必须在SA协议之前相互认证,并且有三种认证方法:
Kerberos Kerberos V5通常用于Windows Server 2003,这是一个默认的身份验证方法。Kerberos认证协议能够安全域内,使用时,这也验证了用户的身份以及网络服务。Kerberos的优势在于它可以认证用户和服务器之间的互操作性。Kerberos可以提供服务器2003域和使用Kerberos身份验证的UNIX环境系统之间的认证服务。
公钥证书(PKI)——PKI用于对不受信任的域成员、非Windows客户机或不运行Kerberos身份验证协议的计算机进行身份验证。证书由证书颁发机构(CA)系统签署。
预共享密钥——在预共享密钥认证中,计算机系统必须识别IPSec策略中使用的共享密钥,只有在无法配置证书和Kerberos时,才使用预共享密钥。
IPSec加密协议
IPSec提供了三种主要加密方法,如下所示
数据加密标准(DES 40)——加密方法性能最好,但安全性较低,40位数据加密标准(数据加密标准简称为DES)通常称为安全套接字层(安全套接字层,称为SSL),适用于低数据安全要求。
数据加密标准(DES,56)通过IPSec策略,你可以使用一个56位DES加密方法。1977,国家标准局发布的DES算法,这往往能在通信过程中生成密钥。这个功能可以防止DES密钥被破译,整个数据集的安全性影响。但它被认为是过时的业务,只为传统应用程序的支持,特殊的硬件,标准的56位密钥解密。
3DES IPSec策略可以选择一个强大的加密算法3DES,这比des.3des也使用56位的密钥更安全,但它使用三。作为一个结果,3des成为168位加密算法用于高度机密的环境如美国政府。所有计算机使用这一策略将遵循这样的机制。
IPSec的传输模式
IPSec可以采用两种不同的模式:传输模式和隧道模式,这些模式是指网络中数据的发送和加密方式,在传输模式中,IPSec的保护贯穿于从源到目的地的整个过程,称为终端到终端的传输安全。
隧道模式仅加密隧道点或网关之间的数据,隧道模式网关提供网关的传输安全。当数据在客户端和服务器之间传输的数据进行加密,只有当数据到达网关,和其余的路径是不受法律保护的。一旦我们到达网关,我们使用IPSec加密。在等待目的网关之后,数据包被解密和验证,然后数据被发送到未受保护的目的地主机。隧道模式通常适用于必须从安全局域网或广域网中删除的数据,并在诸如因特网这样的公共网络中传输。
我看到几个朋友服务器配置,使用我们每个人都是TCP/IP屏幕上的网站的访问端口设置,这没有什么关系,但是大多数只能设置IPSec关闭ICMP的策略,没有其他设置,出于安全原因,它不是很好,因为…
TCP / IP筛选可以只设置客户端访问服务器通过几个固定的TCP或UDP端口,或限制IP访问,每增加一个会重启服务器一次,只适用于小的访问,我不得不做出serv_u可以正常访问,再加上N端口,累的要死(因为FTP软件连接到FTP服务器,将使用一些随机的端口,因为设置的问题,不能看到目录)…现在想起来很可笑。
IPSec策略可以设置立即生效,无需重启服务器,可以阻止或访问端口或IP,可以拒绝一些不安全端口的访问,但也像TCP / IP作为筛选设置客户端访问服务器通过几个固定的TCP或UDP端口,可以选择要大得多,允许而不是垃圾,它可以通过某种特定的IP设置优先级,也可以设置一个IP只能访问一个端口,只要你有想象力,呵呵,很简单,这里是我的一些知识,没有书面程序,因为操作非常简单,只要一个原理,了解其工作原理,速度比
至于安全性,TCP/IP过滤器将在注册表中。
hkey_local_machine 系统 controlset001 服务 TCPIP 参数
hkey_local_machine 系统 controlset002 服务 TCPIP 参数
hkey_local_machine 系统 controlset003 服务 TCPIP 参数
在设置enablesecurityfilters值,当enablesecurityfilters= DWORD值:0000000 1,即TCP / IP屏蔽效应,当enablesecurityfilters= DWORD值:00000000,TCP / IP网故障,以便给我们一个漏洞,超过regedit E衍生三键的enablesecurityfilters值改为:00000000,注册表DWORD的,嘻嘻,你越等于零。
IPSec策略中没有这种安全风险。在IPSec策略上也有一些加密指令。它是安全的!而且IP策略可以备份为文件,因此可以很容易地在不同的计算机上使用。然而,2K和XP或2K3之间的区别是,我们应该注意到。
以上就是给人带来不一样的精彩。要知道更多精彩的朋友可以继续关注,我们会给你最新鲜最新鲜的内容!