实战:使用IPSec保护服务器安全
使用IPSec保護(hù)服務(wù)器安全
不管是在Windows XP上啟用防火墻還是Windows Server上配置TCP/IP篩選,都不能嚴(yán)格控制出去的流量。因此如果你的服務(wù)器中了***程序(比如中了灰鴿子***程序),該程序會(huì)主動(dòng)連接***者建立會(huì)話,***者就能監(jiān)控和控制你的服務(wù)器了。
最大化配置服務(wù)器網(wǎng)絡(luò)安全,你可以嚴(yán)格控制進(jìn)出服務(wù)器的流量,比如你的服務(wù)器是Web服務(wù)器,你可以配置只允許TCP目標(biāo)端口80的數(shù)據(jù)包進(jìn)入服務(wù)器,TCP源端口為80的數(shù)據(jù)包離開服務(wù)器。這樣即便你的服務(wù)器中了灰鴿子***程序,也不能主動(dòng)連接***者。這種控制方式可以通過配置服務(wù)器IPSec來實(shí)現(xiàn),Windows XP,Windows Server 2003和Windows Server 2008都支持IPSec。
下面就以通過IPSec配置Web服務(wù)器安全,防止灰鴿子***程序?yàn)槔Q菔?**者制作***程序,在Server上啟用Windows防火墻,安裝***程序,在***者遠(yuǎn)程控制服務(wù)器。配置IPSec,如圖2-143所示,只允許TCP的目標(biāo)端口為80數(shù)據(jù)包進(jìn)入服務(wù)器,只允許TCP的源端口為80的數(shù)據(jù)包離開服務(wù)器。驗(yàn)證***程序不能連接***者。
***者的IP地址為192.168.1.121,服務(wù)器Server的IP地址為192.168.1.200。
1.制作***程序
灰鴿子***程序,可以在http://down.51cto.com/搜索“灰鴿子”,可以找到并下載。
中了灰鴿子***程序,會(huì)主動(dòng)連接到***者,***者就可以遠(yuǎn)程監(jiān)控和操控中了***的服務(wù)器。這就要求***程序能夠連接到***者,因此生成的***程序必須指定***者的IP地址。
(1)如圖2-144所示,在***者的計(jì)算機(jī)上安裝并運(yùn)行灰鴿子***程序,單擊“配置服務(wù)程序”按鈕,提示:***程序在中了招的計(jì)算機(jī)上是以服務(wù)的方式存在的。
(2)如圖2-145所示,在出現(xiàn)的“服務(wù)器配置”對話框的“自動(dòng)上線設(shè)置”中輸入***者的IP地址。
▲圖2-144 運(yùn)行灰鴿子***程序 ▲圖2-145 “服務(wù)器配置”對話框
(3)如圖2-146所示,在“安裝選項(xiàng)”選項(xiàng)卡中,選中“安裝成功后自動(dòng)刪除安裝文件”復(fù)選框。***程序一般都是在后臺(tái)偷偷運(yùn)行的,取消選中“程序安裝成功后提示安裝成功”和“程序運(yùn)行時(shí)在任務(wù)欄顯示圖標(biāo)”復(fù)選框。
(4)如圖2-147所示,在“啟動(dòng)設(shè)置”選項(xiàng)卡中,選中“Win2000/XP下優(yōu)先安裝成服務(wù)啟動(dòng)”復(fù)選框,然后單擊“生成服務(wù)器”按鈕,這樣就制作好了***程序。
▲圖2-146 “安裝選項(xiàng)”選項(xiàng)卡 ▲圖2-147 “服務(wù)器配置”對話框
(5)如圖2-148所示,可以看到生成的***程序“Server.exe”。
(6)如圖2-149所示,將有***程序的文件夾共享。以方便Server訪問,模擬中***的過程。
▲圖2-148 生成的***程序 ▲圖2-149 共享存放***的文件夾
2.中***的過程
(1)如圖2-150所示,在Server上,打開“本地連接 屬性”對話框,單擊“設(shè)置”按鈕,在出現(xiàn)的“Windows防火墻”提示對話框中,單擊“是”按鈕,啟用Windows防火墻服務(wù)。
(2)如圖2-151所示,在出現(xiàn)的“Windows防火墻”對話框的“常規(guī)”選項(xiàng)卡中,選中“啟用”單選按鈕和“不允許例外”復(fù)選框。
▲圖2-150 “本地連接 屬性”對話框 ▲圖2-151 “Windows防火墻”對話框
(3)如圖2-152所示,可以看到本地連接啟用了Windows防火墻的圖標(biāo),加了一把鎖。
(4)如圖2-153所示,在Server上訪問***者的共享文件夾,將***程序拷貝到桌面,雙擊,安裝***程序。
▲圖2-152 啟用Windows防火墻 ▲圖2-153 將***拷貝到本地并安裝
3.遠(yuǎn)程監(jiān)控和控制
(1)如圖2-154所示,在***者計(jì)算機(jī)上,可以看到中了***的計(jì)算機(jī)自動(dòng)上線,選中上線的服務(wù)器,單擊“捕獲屏幕”按鈕。可以遠(yuǎn)程監(jiān)控Server桌面。
(2)如圖2-155所示,單擊圖中框起的鼠標(biāo)和鍵盤圖標(biāo),還可以控制遠(yuǎn)程計(jì)算機(jī)。
▲圖2-154 捕獲屏幕 ▲圖2-155 遠(yuǎn)程控制
(3)如圖2-156所示,在Server上的命令提示符下輸入netstat –n,可以看到***建立的會(huì)話。
(4)如圖2-157所示,在Server上,運(yùn)行msconfig,打開“系統(tǒng)配置實(shí)用程序”對話框,選中“隱藏所有Microsoft服務(wù)”復(fù)選框,可以看到灰鴿子***安裝的服務(wù)。
▲圖2-156 灰鴿子建立的會(huì)話 ▲圖2-157 安裝的灰鴿子***
4.配置IPSec保護(hù)Web服務(wù)器
(1)如圖2-158所示,在Server上禁用Windows防火墻。現(xiàn)在使用IPSec嚴(yán)格控制出入流量。
(2)如圖2-159所示,選擇“開始”→“程序”→“管理工具”→“本地安全策略”命令。
▲圖2-158 關(guān)閉Windows防火墻 ▲圖2-159 選擇“本地安全策略”命令
(3)如圖2-160所示,在打開的“本地安全設(shè)置”窗口中,右擊“IP安全策略,在本地計(jì)算機(jī)”節(jié)點(diǎn),在彈出的快捷菜單中選擇“創(chuàng)建IP安全策略”命令。
(4)在出現(xiàn)的“歡迎使用IP安全策略向?qū)А睂υ捒蛑?#xff0c;單擊“下一步”按鈕。
(5)如圖2-161所示,在出現(xiàn)的“IP安全策略名稱”設(shè)置界面中,輸入名稱和描述信息,單擊“下一步”按鈕。
▲圖2-160 “本地安全設(shè)置”窗口 ▲圖2-161 “IP安全策略名稱”設(shè)置界面
(6)如圖2-162所示,在出現(xiàn)的“安全通訊請求”設(shè)置界面中,取消選中“激活默認(rèn)響應(yīng)規(guī)則”復(fù)選框,單擊“下一步”按鈕。
(7)如圖2-163所示,在出現(xiàn)的“正在完成IP安全策略向?qū)А痹O(shè)置界面中,單擊“完成”按鈕。
▲圖2-162 “安全通訊請求”設(shè)置界面 ▲圖2-163 “正在完成IP安全策略向?qū)А痹O(shè)置界面
(8)如圖2-164所示,在出現(xiàn)的“WebServerIPSec屬性”對話框中,取消選中“使用‘添加向?qū)А睆?fù)選框,單擊“添加”按鈕。
(9)如圖2-165所示,在出現(xiàn)的“新規(guī)則 屬性”對話框中,選中“所有IP通訊”單選按鈕,單擊“篩選器操作”標(biāo)簽。
▲圖2-164 “WebServerIPSec屬性”對話框 ▲圖2-165 “新規(guī)則 屬性”對話框
(10)如圖2-166所示,在“篩選器操作”選項(xiàng)卡中,沒有拒絕的動(dòng)作,取消選中“使用‘添加向?qū)А睆?fù)選框,單擊“添加”按鈕。
(11)如圖2-167所示,在出現(xiàn)的“新篩選器操作 屬性”對話框的“安全措施”選項(xiàng)卡中,選中“阻止”單選按鈕,單擊“常規(guī)”標(biāo)簽。
▲圖2-166 添加篩選器的操作 ▲圖2-167 選擇阻止
(12)如圖2-168所示,在“常規(guī)”選項(xiàng)卡中,輸入名稱,單擊“確定”按鈕。
(13)如圖2-169所示,在“新規(guī)則 屬性”對話框中,選擇剛剛創(chuàng)建的操作“拒絕通信”,單擊“應(yīng)用”按鈕。
▲圖2-168 指定操作名稱 ▲圖2-169 選擇操作
(14)如圖2-170所示,單擊“確定”按鈕。
(15)如圖2-171所示,這樣就添加了拒絕所有通信,相當(dāng)于拔了網(wǎng)線。然后添加規(guī)則允許訪問Web站點(diǎn)的流量出入。
▲圖2-170 完成添加規(guī)則 ▲圖2-171 添加允許訪問Web服務(wù)的規(guī)則
(16)如圖2-172所示,在“新規(guī)則 屬性”對話框中,單擊“添加”按鈕。
(17)如圖2-173所示,在出現(xiàn)的“IP篩選器列表”對話框中,輸入規(guī)則名稱,取消選中“使用添加向?qū)А睆?fù)選框,單擊“添加”按鈕。
▲圖2-172 添加篩選器列表 ▲圖2-173 添加篩選器
(18)如圖2-174所示,在出現(xiàn)的“IP篩選器 屬性”對話框中,可以看到源地址和目標(biāo)地址,一定要選中“鏡像,與源地址和目標(biāo)地址正好相反的數(shù)據(jù)包相匹配”復(fù)選框。
(19)如圖2-175所示,在“協(xié)議”選項(xiàng)卡中,協(xié)議選擇TCP,“設(shè)置IP協(xié)議端口”選項(xiàng)組中,選中“從此端口”和“到任意端口”單選按鈕,單擊“確定”按鈕。
▲圖2-174 配置篩選器 ▲圖2-175 指定協(xié)議和端口
(20)如圖2-176所示,單擊“確定”按鈕。當(dāng)然,如果還希望別人訪問FTP站點(diǎn),你還可以繼續(xù)單擊“添加”按鈕,添加相應(yīng)的篩選器。篩選器列表中可以包括多個(gè)篩選器。
(21)如圖2-177所示,在“新規(guī)則 屬性”對話框中,選中“允許訪問Web服務(wù)”單選按鈕,單擊“篩選器操作”標(biāo)簽。
▲圖2-176 完成篩選器列表 ▲圖2-177 選擇篩選器規(guī)則
(22)如圖2-178所示,在“篩選器操作”選項(xiàng)卡中,選中“許可”單選按鈕,單擊“應(yīng)用”按鈕。
(23)如圖2-179所示,單擊“確定”按鈕。
▲圖2-178 “篩選器操作”選項(xiàng)卡 ▲圖2-179 單擊“確定”按鈕
(24)如圖2-180所示,到目前為止已經(jīng)創(chuàng)建了兩個(gè)規(guī)則,一個(gè)是拒絕所有通信,一個(gè)是允許訪問Web服務(wù)器的流量,多個(gè)規(guī)則以最佳匹配為準(zhǔn)。也就意味著不是訪問Web站點(diǎn)的流量就應(yīng)用所有IP通信的規(guī)則。
(25)如圖2-181所示,右擊剛才創(chuàng)建的WebServerIPSec策略,在彈出的快捷菜單中選擇“指派”命令,該策略生效。
▲圖2-180 創(chuàng)建的兩個(gè)規(guī)則 ▲圖2-181 指派IP策略
(26)如圖2-182所示,在Server上運(yùn)行netstat –n命令,可以看到***程序不能和***者的計(jì)算機(jī)建立會(huì)話,這樣***就成了“臥槽馬”,不會(huì)為你的Server造成多大危害。
(27)如圖2-182所示,ping ***者的IP地址,出現(xiàn)Destination host unreachable。因?yàn)镮PSec沒有允許此類通信出入。
(28)如圖2-183所示,在***者計(jì)算機(jī)上,你也看不到自動(dòng)上線的主機(jī),就沒辦法監(jiān)控和控制中了***的服務(wù)器。
▲圖2-182 查看會(huì)話測試網(wǎng)絡(luò) ▲圖2-183 灰鴿子不能上線了
(29)如圖2-184所示,可以看到,在***者計(jì)算機(jī)訪問Server的Web站點(diǎn)還是可以的。
▲圖2-184 能夠訪問Web站點(diǎn)
| 結(jié)論 | Windows防火墻能夠禁止主動(dòng)***,但是對***沒有防護(hù)作用。Windows的TCP/IP篩選和Windows防火墻類似,能夠禁止主動(dòng)***,但是對***沒有防護(hù)作用。要想使用嚴(yán)格控制出入服務(wù)器的流量策略,可以使用IPSec實(shí)現(xiàn)。 |
廣告
轉(zhuǎn)載于:https://blog.51cto.com/91xueit/1135840
總結(jié)
以上是生活随笔為你收集整理的实战:使用IPSec保护服务器安全的全部內(nèi)容,希望文章能夠幫你解決所遇到的問題。
- 上一篇: TcpClient和TcpListene
- 下一篇: powerdesigner连接db2生成