也許有人聽說過windows系統(tǒng)在XP SP2和WINDOWS 2003中內(nèi)置了一個防火墻,但是該防火墻功能略顯不足。而今天筆者要為各位IT168讀者介紹的也是windows系統(tǒng)中存在的可提供給我們免費(fèi)使用的防火墻,他不同于往常我們所說的那個內(nèi)置防火墻,但是他卻可以提供更好的安全策略。他就是本文介紹的主角——ipsec。
一、IPSEC基本概念:
IPSEC在建立VPN過程中使用頻率比較高,然而很多人都忽略了其包含的一個小組件——IP FILTER。IP Filter,是包含于IP Security(IPSec)中的,是Windows 2K以后新加入的技術(shù)。工作原理很簡單,當(dāng)接收到一個IP數(shù)據(jù)包時,ip filter使用其頭部在一個規(guī)則表中進(jìn)行匹配。當(dāng)找到一個相匹配的規(guī)則時,ip filter就按照該規(guī)則制定的方法對接收到的IP數(shù)據(jù)包進(jìn)行處理。 這里的處理工作只有兩種:丟棄或轉(zhuǎn)發(fā)。
如上所說,ip filter只是IPSec的一部分功能而已。對于不在domain中的個人用戶,IPSec的數(shù)據(jù)加密是用不到的。所以本文主要是介紹如何用IP Filter構(gòu)建防火墻,實(shí)現(xiàn)常用防火墻的部分功能。
二、用IP Filter當(dāng)防火墻的準(zhǔn)備工作:
由于IP Filter屬于IPSec的一部分,所以在使用及配置IP Filter前需要保證IPSEC服務(wù)的正常運(yùn)行。我們可以通過任務(wù)欄的“開始->運(yùn)行”,輸入services.msc進(jìn)入服務(wù)設(shè)置窗口。在服務(wù)設(shè)置窗口中找到名為ipsec services的服務(wù),保證他是“啟動”的。(如圖1)如果該服務(wù)沒有啟動,我們需要雙擊其名稱,點(diǎn)“啟動”按鈕手動啟動該服務(wù),然后還需要把其啟動方式設(shè)置為“自動”,這樣才能保證下面設(shè)置好的IP Filter防火墻過濾信息可以隨系統(tǒng)啟動而啟動,從而保證對數(shù)據(jù)包的過濾功能生效。(如圖2)
圖1 點(diǎn)擊看大圖
圖2
小提示:如果你在服務(wù)名稱中沒有找到ipsec services服務(wù)也不要著急,該項(xiàng)服務(wù)可以在Windows 2000全系列/XP Pro/.Net Server中找到,而在XP HOME中是不支持該功能的。所以說沒有找到該服務(wù)是因?yàn)槟愕南到y(tǒng)不合乎要求,只能放棄了。
三、配置IP Filter:
有過配置防火墻或者過濾策略的讀者在配置IP FILTER上也是非常容易上手的。配置策略和訪問控制列表以及過濾規(guī)則是一樣的。我們通過MMC加載IPSEC模塊來實(shí)施此功能。
第一步:通過任務(wù)欄的“開始->運(yùn)行”輸入MMC,啟動管理單元控制臺窗口。(如圖3)
圖3 點(diǎn)擊看大圖
第二步:默認(rèn)情況下只有“控制臺根節(jié)點(diǎn)”一個選項(xiàng)。我們通過主菜單的“文件->添加/刪除管理單元”來加載IPSEC模塊。(如圖4)
圖4
第三步:在出現(xiàn)的添加/刪除管理單元窗口中我們點(diǎn)“添加”按鈕。(如圖5)
圖5
第四步:在添加獨(dú)立管理單元選項(xiàng)中找到“IP安全策略管理”,點(diǎn)“添加”按鈕進(jìn)行添加。(如圖6)
圖6
第五步:系統(tǒng)會要求你選擇的這個管理單元要管理的計算機(jī)是哪個或者域是哪個。由于我們是對本地計算機(jī)操作,所以選上“本地計算機(jī)”后點(diǎn)“完成”按鈕。(如圖7)
圖7
第六步:添加后我們會在控制臺窗口的“控制臺根節(jié)點(diǎn)”下看到“IP安全策略,在本地計算機(jī)”的項(xiàng)目。(如圖8)
圖8 點(diǎn)擊看大圖
第七步:在“IP安全策略,在本地計算機(jī)”上點(diǎn)鼠標(biāo)右鍵選擇“管理IP篩選器表和篩選器操作”開始配置我們的防火墻策略。(如圖9)
圖9 點(diǎn)擊看大圖
小提示:實(shí)際上我們不僅可以通過MMC加載根節(jié)點(diǎn)控制臺的方法使用IPSEC模塊,在任務(wù)欄的“開始->運(yùn)行”輸入secpol.msc,在打開的窗口中可以直接選擇“管理IP篩選器表和篩選器操作”。這種方法更加簡單快捷。
第八步:在彈出的“管理IP篩選器表和篩選器操作”設(shè)置窗口中默認(rèn)情況下有兩項(xiàng),一個是對所有ICMP通訊量進(jìn)行過濾的,另一個是對所有IP通訊量進(jìn)行過濾的。我們可以通過“添加”按鈕加新的規(guī)則。(如圖10)
圖10 點(diǎn)擊看大圖
第九步:系統(tǒng)會自動生成一個名為“新IP篩選器列表”的規(guī)則,我們在該窗口中點(diǎn)“添加”按鈕繼續(xù)加一個具體的過濾項(xiàng)。(如圖11)
圖11 點(diǎn)擊看大圖
第十步:系統(tǒng)將自動啟動IP篩選器向?qū)А#ㄈ鐖D12)
圖12
圖13
第十二步:接著指定IP通訊的目的地址,類似于規(guī)則中的目的地址。可供我們選擇的有“一個特定的IP子網(wǎng)絡(luò)”(一個區(qū)域包括網(wǎng)絡(luò)號和子網(wǎng)掩碼),“一個特定的IP地址”(一個地址),“一個特定的DNS名稱”(對域名進(jìn)行過濾,即使他的IP是變化的),“任何IP地址”(所有IP地址),“我的IP地址”(本機(jī)IP地址)。設(shè)置完后點(diǎn)“下一步”繼續(xù)。(如圖14)
圖14
第十三步:當(dāng)我們想對某個域名進(jìn)行過濾的時候,可以在目的地址處選擇“一個特定的DNS名稱”,然后在主機(jī)名處輸入對應(yīng)的域名。例如我們sohu.com。(如圖15)
圖15
第十四步:由于sohu.com對應(yīng)的是很多的IP地址,而且是動態(tài)的IP地址。因此系統(tǒng)會首先查看本地DNS緩存,讀取緩存中對應(yīng)的IP地址進(jìn)行過濾。(如圖16)
圖16
第十五步:選擇通訊協(xié)議類型,包括我們常用的TCP和UDP,還可以設(shè)置為任意。(如圖17)
圖17
第十六步:完成IP篩選器建立向?qū)Вc(diǎn)“完成”按鈕結(jié)束此操作。(如圖18)
圖18
第十七步:我們會在剛剛見過的IP篩選器列表窗口中看到添加的規(guī)則。由于這些規(guī)則都是在同一個篩選器中,所以規(guī)則可以同時生效。(如圖19)
圖19
第十八步:點(diǎn)“添加”和“關(guān)閉”按鈕保存之前的設(shè)置,我們會在“IP篩選器列表”中看到新建立的名為“新IP篩選器列表”的篩選器。(如圖20)
圖20
小提示:默認(rèn)情況下,IP Filter的作用是單方面的,比如Source: A, Destination: B,則防火墻只對A->B的流量起作用,對B->A的流量則略過不計。選中Mirror,則防火墻對A<->B的雙向流量都進(jìn)行處理(相當(dāng)于一次添加了兩條規(guī)則)。
這時我們在通過本機(jī)訪問sohu.com網(wǎng)站時就會收到失敗的回應(yīng)消息。當(dāng)然本次只是介紹簡單過濾規(guī)則的建立方法,在實(shí)際使用中明確過濾的源地址,目的地址,使用協(xié)議后都可以使用此方法結(jié)合IPSEC中的IP Filter達(dá)到防火墻過濾非法數(shù)據(jù)包的功能。
四、IP Filter高級技巧:
(1)備份設(shè)置的過濾規(guī)則:
如果我們已經(jīng)建立了很多條過濾規(guī)則如何將其保存以備后用或者其他計算機(jī)使用呢?實(shí)際上操作起來很簡單,在“IP安全策略,在本地計算機(jī)”上點(diǎn)鼠標(biāo)右鍵選擇“所有任務(wù)”下的“導(dǎo)出策略”即可。當(dāng)我們到其他計算機(jī)上使用“所有任務(wù)”下的“導(dǎo)入策略”可以實(shí)現(xiàn)多臺計算機(jī)快速使用同一個策略的功能。(如圖21)
圖21 點(diǎn)擊看大圖
(2)單防火墻也要多策略:
可能有的讀者使用的是筆記本,經(jīng)常在家中和公司場合交替使用,如何讓IP Filter單過濾系統(tǒng)擁有多策略呢?也就是說在家中使用一套過濾方案,在公司使用另一套過濾方案。
方法很簡單我們按照上面說的步驟在“IP篩選器列表”中建立多個篩選器即可,依次起名“公司IPSEC設(shè)置”與“家里IPSEC設(shè)置”。這樣在不同場所使用不同過濾列表即可。(如圖22)
圖22
(3)快速還原初始設(shè)置:
IP Filter有一個默認(rèn)設(shè)置,當(dāng)我們?yōu)镮P Filter添加了這樣或那樣的過濾規(guī)則后發(fā)現(xiàn)網(wǎng)絡(luò)無法使用了,這說明我們添加規(guī)則的時候出現(xiàn)了問題。如何快速解決此問題呢?一個一個的刪除過濾規(guī)則是可以的,但是太麻煩了。我們完全可以通過IP Filter中的“恢復(fù)默認(rèn)設(shè)置”來完成。方法是在IP安全策略,在本地計算機(jī)”上點(diǎn)鼠標(biāo)右鍵選擇“所有任務(wù)”下的“還原默認(rèn)策略”即可。這樣我們設(shè)置的所有策略都將被清空。(如圖23)
圖23 點(diǎn)擊看大圖
總結(jié):
可能有的讀者會問到IPSec中的IP Filter有什么優(yōu)勢呢?實(shí)際上還有一個利用IP Filter的方法,桌面上右擊網(wǎng)上鄰居->屬性->右擊任意一塊網(wǎng)卡->屬性->TCP/IP->高級->選項(xiàng)->TCP/IP過濾,這里有三個過濾器,分別為:TCP端口、UDP端口和IP協(xié)議。但是這里的過濾處理感覺比較簡單,適合純粹的服務(wù)器應(yīng)用,而且不能屏蔽IP地址,功能不如前面所述。 另外IPSec中的IP Filter,并不能對ICMP進(jìn)行很好的處理(無法過濾/保留特定內(nèi)容),如果對這方面有要求,可以使用Routing&Remote Access來處理(該組件在Server以上版本才有)。
