如果问网络管理员如何有效的保障服务器和网络安全的话,恐怕有百分之九十的人会回答——更新补丁,在本地计算机安装防火墙。确实如此,这两个措施是最有效提高安全的方法,对于更新补丁我们只需要把windows操作系统自带的自动更新功能启用即可,相应的在本地计算机安装防火墙并配置合适的安全策略则变得有些难度。瑞星,江民等国内防火墙防护效果欠佳,而国外的norton和卡巴斯基等又占用过多的系统资源。如何选择一款适合自己的防火墙变成一件困难的事。
也许有人听说过windows系统在XP SP2和WINDOWS 2003中内置了一个防火墙,但是该防火墙功能略显不足。而今天笔者要为各位网页教学网读者介绍的也是windows系统中存在的可提供给我们免费使用的防火墙,他不同于往常我们所说的那个内置防火墙,但是他却可以提供更好的安全策略。他就是本文介绍的主角——ipsec。
一、IPSEC基本概念:
IPSEC在建立VPN过程中使用频率比较高,然而很多人都忽略了其包含的一个小组件——IP FILTER。IP Filter,是包含于IP Security(IPSec)中的,是Windows 2K以后新加入的技术。工作原理很简单,当接收到一个IP数据包时,ip filter使用其头部在一个规则表中进行匹配。当找到一个相匹配的规则时,ip filter就按照该规则制定的方法对接收到的IP数据包进行处理。 这里的处理工作只有两种:丢弃或转发。
如上所说,ip filter只是IPSec的一部分功能而已。对于不在domain中的个人用户,IPSec的数据加密是用不到的。所以本文主要是介绍如何用IP Filter构建防火墙,实现常用防火墙的部分功能。
二、用IP Filter当防火墙的准备工作:
由于IP Filter属于IPSec的一部分,所以在使用及配置IP Filter前需要保证IPSEC服务的正常运行。我们可以通过任务栏的“开始->运行”,输入services.msc进入服务设置窗口。在服务设置窗口中找到名为ipsec services的服务,保证他是“启动”的。(如图1)如果该服务没有启动,我们需要双击其名称,点“启动”按钮手动启动该服务,然后还需要把其启动方式设置为“自动”,这样才能保证下面设置好的IP Filter防火墙过滤信息可以随系统启动而启动,从而保证对数据包的过滤功能生效。(如图2)
小提示:如果你在服务名称中没有找到ipsec services服务也不要着急,该项服务可以在Windows 2000全系列/XP Pro/.Net Server中找到,而在XP HOME中是不支持该功能的。所以说没有找到该服务是因为你的系统不合乎要求,只能放弃了。
三、配置IP Filter:
有过配置防火墙或者过滤策略的读者在配置IP FILTER上也是非常容易上手的。配置策略和访问控制列表以及过滤规则是一样的。我们通过MMC加载IPSEC模块来实施此功能。
第一步:通过任务栏的“开始->运行”输入MMC,启动管理单元控制台窗口。(如图3)