当前位置: 首页 > 图文教程 > 服务器 > 安全防护 > 服务器安全设置(十九)

安全防护
如何做服务器安全维护?
网管员需要注意十点安全技巧
快速查找对方IP经典技巧汇总
堵住黑客非法入侵的11点原则
卡巴斯基的19种使用方法
菜鸟必读,普通木马的防范方法
深入认识如何选择和保护密码
网管经验谈:服务器维护之真知灼见
从服务器的记录寻找黑客的蛛丝马迹
历史十大黑客事件:不堪一击的系统
全面彻底 普通用户选用防火墙面面通
2007年世界顶级杀毒软件排行榜
防范内网遭受DoS攻击的策略
个人网络安全防卫手册
像“偷窃者”一样思考网站的安全策略
骗术百出 教你识破十种电子邮件诈骗术
计算机病毒中心:Flash Player插件存漏洞
代理蠕虫借U盘肆虐 关闭杀毒软件下载病毒
删除U盘顽固病毒 还Linux一个清静的空间
卡巴斯基:2008年5月二十大恶意软件排行榜

安全防护 中的 服务器安全设置(十九)


出处:互联网   整理: 软晨网(RuanChen.com)   发布: 2009-10-29   浏览: 46 ::
收藏到网摘: n/a

刚刚在我们进行TCP/IP过滤时,还有另外一个选项:IP安全机制(IP Security),我们过滤ICMP的想法就要着落在它身上。

打开本地安全策略,选择IP安全策略,在这里我们可以定义自己的IP安全策略。一个IP安全过滤器由两个部分组成:过滤策略和过滤操作,过滤策略决定哪些报文应当引起过滤器的关注,过滤操作决定过滤器是“允许”还是“拒绝”报文的通过。要新建IP安全过滤器,必须新建自己的过滤策略和过滤操作:右击本机的IP安全策略,选择管理IP过滤器,在IP过滤器管理列表中建立一个新的过滤规则:ICMP_ANY_IN,源地址选任意IP,目标地址选本机,协议类型是ICMP,切换到管理过滤器操作,增加一个名为Deny的操作,操作类型为"阻止"(Block)。这样我们就有了一个关注所有进入ICMP报文的过滤策略和丢弃所有报文的过滤操作了。需要注意的是,在地址选项中有一个镜像选择,如果选中镜像,那么将会建立一个对称的过滤策略,也就是说当你关注any IP->my IP的时候,由于镜像的作用,实际上你也同时关注了my IP->any IP,你可以根据自己的需要选择或者放弃镜像。再次右击本机的IP安全策略,选择新建IP过滤策略,建立一个名称为ICMP Filter的过滤器,通过增加过滤规则向导,我们把刚刚定义的ICMP_ANY_IN过滤策略指定给ICMP Filter,然后在操作选框中选择我们刚刚定义的Deny操作,退出向导窗口,右击ICMP Filter并启用它,现在任何地址进入的ICMP报文都会被丢弃了。

虽然用IP sec能够对ICMP报文进行过滤,不过操作起来太麻烦,而且如果你只需要过滤特定的ICMP报文,还要保留一些常用报文(如主机不可达、网络不可达等),IP sec策略就力不从心了,我们可以利用Win2000的另一个强大工具路由与远程访问控制(Routing & Remote Access)来完成这些复杂的过滤操作。

路由与远程访问控制是Win2000用来管理路由表、配置VPN、控制远程访问、进行IP报文过滤的工具,默认情况下并没有安装,所以首先你需要启用它,打开"管理工具"->"路由与远程访问",右击服务器(如果没有则需要添加本机)选择"配置并启用路由及远程访问",这时配置向导会让你选择是什么样的服务器,一般来说,如果你不需要配置VPN服务器,那么选择"手动配置"就可以了,配置完成后,主机下将出现一个IP路由的选项,在"常规"中选择你想配置的网卡(如果你有多块网卡,你可以选择关闭某一块的ICMP),在网卡属性中点击"输入筛选器",添加一条过滤策略"from:ANY to:ANY 协议:ICMP 类型:8 :编码 丢弃"就可以了(类型8编码0就是Ping使用的ICMP_ECHO报文,如果要过滤所有的ICMP报文只需要将类型和编码都设置为255)