国产成人v爽在线免播放观看,日韩欧美色,久久99国产精品久久99软件,亚洲综合色网站,国产欧美日韩中文久久,色99在线,亚洲伦理一区二区

學(xué)習(xí)啦 > 學(xué)習(xí)電腦 > 網(wǎng)絡(luò)知識(shí) > 網(wǎng)絡(luò)技術(shù) > 怎樣配置TCP/IP安全

怎樣配置TCP/IP安全

時(shí)間: 若木635 分享

怎樣配置TCP/IP安全

  如何配置 TCP/IP 安全,以下是以2000為準(zhǔn),XP和2K3同樣,下面一起跟著小編為大家閱讀。

  配置 TCP/IP 安全:

  1. 單擊開(kāi)始,指向設(shè)置,單擊控制面板,然后雙擊網(wǎng)絡(luò)和撥號(hào)連接。

  2. 右鍵單擊要在其上配置入站訪問(wèn)控制的接口,然后單擊屬性。

  3. 在選定的組件被這個(gè)連接所使用框中,單擊 Internet 協(xié)議 (TCP/IP),然后單擊屬性。

  4. 在 Internet 協(xié)議 (TCP/IP) 屬性對(duì)話框中,單擊高級(jí)。

  5. 單擊選項(xiàng)選項(xiàng)卡。

  6. 單擊 TCP/IP 篩選,然后單擊屬性。

  7. 選中啟用 TCP/IP 篩選(所有適配器)復(fù)選框。選中此復(fù)選框后,將對(duì)所有適配器啟用篩選,但您要逐個(gè)為適配器配置篩選器。同一篩選器并不適用于所有適配器。

  8. 該窗口中一共有三列,分別標(biāo)記為:

  TCP 端口

  UDP 端口

  IP 協(xié)議在每一列中,都必須選擇下面的某個(gè)選項(xiàng):

  全部允許。如果要允許 TCP 或 UDP 通信的所有數(shù)據(jù)包,請(qǐng)保留全部允許處于選中狀態(tài)。

  僅允許。如果只允許選定的 TCP 或 UDP 通信,請(qǐng)單擊僅允許,再單擊添加,然后在添加篩選器對(duì)話框中鍵入相應(yīng)的端口。

  如果要阻止所有 UDP 或 TCP 流量,請(qǐng)單擊僅允許,但不要在 UDP 端口或 TCP 端口列中添加任何端口號(hào)。如果您為 IP 協(xié)議選中了僅允許并排除了 IP 協(xié)議 6 和 17,并不能阻止 UDP 或 TCP 通信。

  請(qǐng)注意,即使在 IP 協(xié)議列中選擇了僅允許而且不添加 IP 協(xié)議 1,也無(wú)法阻止 ICMP 消息。

  “TCP/IP 篩選”只能篩選入站流量。此功能不影響出站流量,也不影響為接受來(lái)自出站請(qǐng)求的響應(yīng)而創(chuàng)建的響應(yīng)端口。如果需要更好地控制出站訪問(wèn),請(qǐng)使用 IPSec 策略或數(shù)據(jù)包篩選。

  在進(jìn)行IPSec完整性配置時(shí),有兩個(gè)選項(xiàng) :Message Digest 5 (MD5)和安全散列算法1(Secure Hash Algorithm 1 ,簡(jiǎn)稱(chēng)SHA1)。后者的安全度更高,但需要更多的 CPU資源,MD5使用128位散列算法,而SHA1使用的160位算法。

  IPsec 認(rèn)證協(xié)議

  當(dāng)兩個(gè)系統(tǒng)互相交換加密數(shù)據(jù)之前,需要相互對(duì)加密的數(shù)據(jù)包進(jìn)行安全認(rèn)定。這個(gè)安全認(rèn)定成為安全協(xié)定(security association,簡(jiǎn)稱(chēng)SA)。在相互通信之前,兩個(gè)系統(tǒng)必須認(rèn)定對(duì)同一SA。

  因特網(wǎng)密鑰交換協(xié)議(Internet Key Exchange,簡(jiǎn)稱(chēng)IKE)管理著用于IPSec連接的 SA協(xié)議過(guò)程。IKE是因特網(wǎng)工程任務(wù)組(Internet Engineering Task Force,簡(jiǎn)稱(chēng)IETF)制定的關(guān)于安全協(xié)議和密鑰交換的標(biāo)準(zhǔn)方法。IKE的操作分兩階段:第一階段確保通信信道的安全,第二階段約定SA的操作。

  為了建立IPSec通信,兩臺(tái)主機(jī)在SA協(xié)定之前必須互相認(rèn)證,有三種認(rèn)證方法:

  Kerberos - Kerberos v5常用于Windows Server 2003,是其缺省認(rèn)證方式。 Kerberos能在域內(nèi)進(jìn)行安全協(xié)議認(rèn)證,使用時(shí),它既對(duì)用戶(hù)的身份也對(duì)網(wǎng)絡(luò)服務(wù)進(jìn)行驗(yàn)證。Kerberos的優(yōu)點(diǎn)是可以在用戶(hù)和服務(wù)器之間相互認(rèn)證,也具有互操作性。Kerberos可以在 Server 2003的域和使用Kerberos 認(rèn)證的UNix環(huán)境系統(tǒng)之間提供認(rèn)證服務(wù)。

  公鑰證書(shū) (PKI) - PKI用來(lái)對(duì)非受信域的成員,非Windows客戶(hù),或者沒(méi)有運(yùn)行Kerberos v5 認(rèn)證協(xié)議的計(jì)算機(jī)進(jìn)行認(rèn)證,認(rèn)證證書(shū)由一個(gè)作為證書(shū)機(jī)關(guān)(CA)系統(tǒng)簽署。

  預(yù)先共享密鑰 -在預(yù)先共享密鑰認(rèn)證中,計(jì)算機(jī)系統(tǒng)必須認(rèn)同在IPSec策略中使用的一個(gè)共享密鑰 ,使用預(yù)先共享密鑰僅當(dāng)證書(shū)和Kerberos無(wú)法配置的場(chǎng)合。

  IPSec加密協(xié)議

  IPSec提供三種主要加密方法,如下

  數(shù)據(jù)加密標(biāo)準(zhǔn) (DES 40位) - 該加密方法性能最好,但安全性較低。該 40位數(shù)據(jù)加密標(biāo)準(zhǔn)(Data Encryption Standard,簡(jiǎn)稱(chēng)DES)通常被稱(chēng)為 安全套接字層(Secure Sockets Layer,簡(jiǎn)稱(chēng)SSL)。適用于數(shù)據(jù)安全性要求較低的場(chǎng)合。

  數(shù)據(jù)加密標(biāo)準(zhǔn) (DES 56位) - 通過(guò)IPSec策略,可以使用56位 DES的加密方法。1977年美國(guó)國(guó)家標(biāo)準(zhǔn)局公布了DES算法,它可以在通信過(guò)程中經(jīng)常生成密鑰。該功能可防止因?yàn)橐粋€(gè)DES密鑰被破譯而整個(gè)數(shù)據(jù)集的安全受到影響。但是在商業(yè)中被認(rèn)為過(guò)時(shí)了,僅用于傳統(tǒng)的應(yīng)用支持,有專(zhuān)門(mén)的硬件可以破譯標(biāo)準(zhǔn)的 56位密鑰。

  3DES - IPSec策略可以選擇一個(gè)強(qiáng)大的加密算法3DES,其安全性比DES更高。3DES也使用了56位密鑰,但使用了三個(gè)。結(jié)果3DES成為 168位加密算法,用于諸如美國(guó)政府這樣的高機(jī)密的環(huán)境中。采用該策略的所有計(jì)算機(jī)將都遵守這樣的機(jī)制。

  IPSec傳輸模式

  IPSec可以在兩種不同的模式下運(yùn)作:傳輸模式和隧道模式。這些模式指的是數(shù)據(jù)在網(wǎng)絡(luò)中是如何發(fā)送和加密的。在傳輸模式下,IPSec的保護(hù)貫穿全程:從源頭到目的地,被稱(chēng)為提供終端到終端的傳輸安全性 。

  隧道模式僅僅在隧道點(diǎn)或者網(wǎng)關(guān)之間加密數(shù)據(jù)。隧道模式提供了網(wǎng)關(guān)到網(wǎng)關(guān)的傳輸安全性。當(dāng)數(shù)據(jù)在客戶(hù)和服務(wù)器之間傳輸時(shí),僅當(dāng)數(shù)據(jù)到達(dá)網(wǎng)關(guān)時(shí)才得到加密,其余路徑不受保護(hù)。一旦到達(dá)網(wǎng)關(guān),就采用IPSec進(jìn)行加密,等到達(dá)目的網(wǎng)關(guān)之后,數(shù)據(jù)包被解密和驗(yàn)證,之后數(shù)據(jù)發(fā)送到不受保護(hù)的目的主機(jī)。隧道模式通常適用于數(shù)據(jù)必須離開(kāi)安全的LAN或者WAN的范圍,且在諸如互聯(lián)網(wǎng)這樣的公共網(wǎng)絡(luò)中傳輸?shù)膱?chǎng)合。

  我看了幾個(gè)朋友的服務(wù)器配置,每一個(gè)人都使用的是TCP/IP篩選對(duì)網(wǎng)站的訪問(wèn)端口進(jìn)行設(shè)定,這到?jīng)]什么關(guān)系,但對(duì)IPSec 策略最多也只設(shè)定封一下ICMP,別的都沒(méi)設(shè)定,出于安全考慮,這樣做不是很好,因?yàn)?..

  TCP/IP篩選只可只設(shè)定客戶(hù)端通過(guò)幾個(gè)固定的TCP或UDP端口進(jìn)行對(duì)服務(wù)器的訪問(wèn),或限定IP訪問(wèn),每增加一次就要重啟服務(wù)器一次,只能適合比較小型訪問(wèn),原來(lái)我為了讓Serv_u能進(jìn)行正常訪問(wèn),加了N個(gè)端口,累的要死(因?yàn)镕TP軟件連接到FTP服務(wù)器的話,會(huì)隨機(jī)使用一些端口,因?yàn)樵O(shè)定問(wèn)題,就看不到目錄了)...現(xiàn)在想起來(lái)也好笑.

  IPSec 策略可設(shè)定即時(shí)生效,不用重啟服務(wù)器,可對(duì)端口或IP進(jìn)行封鎖或訪問(wèn),可拒絕一些不安全端口的訪問(wèn),也可像TCP/IP篩選一樣只設(shè)定客戶(hù)端通過(guò)幾個(gè)固定的TCP或UDP端口進(jìn)行對(duì)服務(wù)器的訪問(wèn),可選擇性要大很多,其中的許可比拒絕優(yōu)先,這樣就可以設(shè)定優(yōu)先通過(guò)某一些特定的IP,也可設(shè)定某個(gè)IP只能訪問(wèn)某個(gè)端口之類(lèi)的,只要你有想像力,哈哈,就很簡(jiǎn)單了,這里我寫(xiě)的都是一些知識(shí),沒(méi)有寫(xiě)操作步驟,因?yàn)椴僮骱芎?jiǎn)單,只要說(shuō)一下原理,懂原理比操作更快

  如安全方面的話,TCP/IP篩選會(huì)在注冊(cè)表中的

  HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\Tcpip\Parameters

  HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Services\Tcpip\Parameters

  HKEY_LOCAL_MACHINE\SYSTEM\ControlSet003\Services\Tcpip\Parameters

  中的EnableSecurityFilters值上設(shè)定,當(dāng)為"EnableSecurityFilters"=dword:00000001,即TCP/IP篩選生效,當(dāng)為"EnableSecurityFilters"=dword:00000000,即TCP/IP篩選失效,這樣就給我們一個(gè)漏洞了,用regedit -e導(dǎo)出以上三個(gè)鍵值,把EnableSecurityFilters值改成dword:00000000,regedit -s,嘻嘻,你設(shè)的再多也等于零。

  IPSec 策略就沒(méi)有這個(gè)安全隱患,上面還有IPSec 策略的一些加密說(shuō)明,安全吧??!!而且IP策略可以備份為文件方便在不同的電腦上使用,不過(guò)2K和XP或2K3使用的不同,這點(diǎn)到是要注意一下。

  以上就是學(xué)習(xí)啦帶給大家不一樣的精彩。想要了解更多精彩的朋友可以持續(xù)關(guān)注學(xué)習(xí)啦,我們將會(huì)為你奉上最全最新鮮的內(nèi)容哦! 學(xué)習(xí)啦,因你而精彩。

119193