資源描述:
《如何使用IPSec阻止特定網(wǎng)絡(luò)協(xié)議和端口(精品).doc》由會(huì)員上傳分享���,免費(fèi)在線閱讀���,更多相關(guān)內(nèi)容在工程資料-天天文庫(kù)。
1��、如何使用IPSec阻止特定網(wǎng)絡(luò)協(xié)議和端口Internet協(xié)議安全(IPSec)篩選規(guī)則可用于幫助保護(hù)基于Windows2000��、WindowsXP和WindowsServer2003的計(jì)算機(jī)免遭病毒及蠕蟲(chóng)病毒等威脅帶來(lái)的基于網(wǎng)絡(luò)的攻擊�����。uInternet協(xié)議安全性(IPSec)”是一種開(kāi)放標(biāo)準(zhǔn)的框架結(jié)構(gòu),通過(guò)使用加密的安全服務(wù)以確保在Internet協(xié)議(IP)網(wǎng)絡(luò)上進(jìn)行保密而安全的通訊��。實(shí)施TPSec是基于“hternet工程任務(wù)組(TETF)”TPSec工作組開(kāi)發(fā)的標(biāo)準(zhǔn)�����。本文介紹如何為入站和出站網(wǎng)絡(luò)通信
2��、篩選特定的協(xié)議和端口組合��。本文還包拈用丁確定當(dāng)前是否為基TWindows2000����、WindowsXP或WindowsServer2003的計(jì)算機(jī)指定了IPSec策略的步驟、用于創(chuàng)建和指定新的IPSec策略的步驟以及用于取消指定和刪除IPSec策略的步驟����。IPSec策略可以在本地應(yīng)用,也可以作為域的紐策略的一部分應(yīng)用于該域的成員�����。本地IPSec策略可以是靜態(tài)的(重新啟動(dòng)后一直有效)或動(dòng)態(tài)的(易失效)�。靜態(tài)IPSec策略被寫(xiě)入本地注冊(cè)表并在操作系統(tǒng)重新啟動(dòng)后一直有效。動(dòng)態(tài)IPSec策略沒(méi)有被永久性地寫(xiě)入注冊(cè)表���,
3��、并J4在操作系統(tǒng)或IPSecPolicyAgent服務(wù)重新啟動(dòng)后被刪除�。重要說(shuō)明:本文包含有關(guān)使用lpsecpol.exe編輯注冊(cè)表的信息���。編輯注冊(cè)表之前��,一定耍知道在發(fā)生問(wèn)題時(shí)如何還原注冊(cè)農(nóng)�。有關(guān)如何備份、還原和編輯注冊(cè)表的信息����,請(qǐng)單擊下面的文章編號(hào),以查看Microsoft知識(shí)庫(kù)中相應(yīng)的文章:256986MicrosoftWindows注冊(cè)表說(shuō)明注意:IPSec篩選規(guī)則會(huì)導(dǎo)致網(wǎng)絡(luò)程序丟失數(shù)據(jù)和停止響應(yīng)網(wǎng)絡(luò)請(qǐng)求�����,包括無(wú)法對(duì)用八進(jìn)行身份驗(yàn)證�。只有當(dāng)您清楚地了解阻止特定端口對(duì)您的環(huán)境具有的影響Z后,才應(yīng)將IP
4、Sec篩選規(guī)則作為一種迫不得已的防護(hù)措施加以采用�����。如果您按照本文列出的步驟創(chuàng)建的IPSec策略對(duì)?您的網(wǎng)絡(luò)程序有不利影響��,請(qǐng)參閱本文稍后的“取消指定和刪除IPSec策略”一節(jié)���,了解有關(guān)如何立即禁用和刪除該策略的說(shuō)明。確定是否指定了IPSec策略基于WindowsServer2003的計(jì)算機(jī)在為基于WindowsServer2003的計(jì)算機(jī)創(chuàng)建或指定任何新的IPSec策略之前�����,請(qǐng)確工是否有從本地注冊(cè)表或通過(guò)組策略對(duì)彖(GPO)應(yīng)用的任何IPSec策略。為此���,請(qǐng)按照下列步驟操作:1.運(yùn)行WindowsServe
5����、r2003CD上的SupportTools文件夾中的Suptools.msi,安裝Netdiag.exe���。2.打開(kāi)命令提示符窗口��,然后將工作文件夾設(shè)置為C:ProgramFilesSupportTools���。3.運(yùn)行以下命令以驗(yàn)證尚未為該計(jì)算機(jī)指定現(xiàn)有IPSec策略:netdiag/test:ipsec如果沒(méi)有指定策略,您將收到以下消息:IP安全測(cè)試���。:傳遞的IPSec策略服務(wù)是活動(dòng)的��,但是沒(méi)有指定策略���。基于WindowsXP的計(jì)算機(jī)在為基于WindowsXP的計(jì)算機(jī)創(chuàng)建或指定任何新的IPSec策略Z前
6��、,請(qǐng)確定是否有從本地注冊(cè)表或通過(guò)GPO應(yīng)用的任何IPSec策略�����。為此����,請(qǐng)按照下列步驟操作:1.運(yùn)行WindowsXPCD匕的SupportTools文件夾中的Setup.exe,安裝Netdiag.exe。2.打開(kāi)命令提示符窗口����,然后將工作文件夾設(shè)置為C:ProgramFilesSupportToolSo3.運(yùn)行以下命令以驗(yàn)證尚未為該計(jì)算機(jī)指定現(xiàn)有IPSec策略:netdiag/test:ipsec如果沒(méi)有指定策略,您將收到以下消息:IP安全測(cè)試�。:傳遞的IPSec策略服務(wù)是活動(dòng)的,但是沒(méi)有指定策略�����。
7���、創(chuàng)建用于阻止通信的靜態(tài)策略基于WindowsServer2003和WindowsXP的計(jì)算機(jī)對(duì)于沒(méi)有啟用本地定義的IPSec策略的系統(tǒng)�����,請(qǐng)創(chuàng)建一個(gè)新的本地靜態(tài)策略,以阻止定向到WindowsServer2003和WindowsXP計(jì)算機(jī)上的特定協(xié)議和特定端口的通信。為此,請(qǐng)按照下列步驟操作:1.驗(yàn)證IPSecPolicyAgent服務(wù)已在“服務(wù)”MMC管理單元中啟用并啟動(dòng)�����。2.安裝IPSeccmd.exe�。IPSeccmd.exe是WindowsXPServicePack2(SP2)支持工具的一部分。注意:
8���、IPSeccmd.exe將在WindowsXP和WindowsServer2003操作系統(tǒng)中運(yùn)行�����,但僅有WindowsXPSP2支持工具包中提供此工具�����。有關(guān)下載和安裝WindowsXPServicePack2支持工具的更多信息�����,請(qǐng)單擊下面的文章編號(hào)����,以查看Microsoft知識(shí)庫(kù)中相應(yīng)的文章:838079WindowsXPServicePack2支持工具1.打開(kāi)命令提示符窗口�����,然后將工作文件夾設(shè)置為安裝Windo
