运行IPSec过滤器 应该打开哪些端口?

日期: 2008-04-07 作者:Michael Cobb翻译:李娜娜 来源:TechTarget中国 英文

问:我们现在使用租用线来连接分支机构。终端是分支机构的应用程序和服务设备,比如微软邮件管理程序Microsoft Outlook和打印机。我们想要为分支机构建立安全互联网协议(IPsec)过滤器,这样他们就可以与总部连接。我们注意到将设置集中化,分支机构就会不用服务器。

那么我们应该如何确定哪些端口应该打开,哪些应该关闭?在这种评估中,常见的错误有哪些?   答:Internet协议安全性(IPSec)是一个伟大的协议,因为它提供了分组级完整性,认证和加密等功能。经过正确配置后,它可以成为网络安全防护体系中功能强大、性能通用的一个组成部分。   IPSec也使确认可以使用服务器上运行的服务程序的……

我们一直都在努力坚持原创.......请不要一声不吭,就悄悄拿走。

我原创,你原创,我们的内容世界才会更加精彩!

【所有原创内容版权均属TechTarget,欢迎大家转发分享。但未经授权,严禁任何媒体(平面媒体、网络媒体、自媒体等)以及微信公众号复制、转载、摘编或以其他方式进行使用。】

微信公众号

TechTarget微信公众号二维码

TechTarget

官方微博

TechTarget中国官方微博二维码

TechTarget中国

电子邮件地址不会被公开。 必填项已用*标注

敬请读者发表评论,本站保留删除与本文无关和不雅评论的权力。

问:我们现在使用租用线来连接分支机构。终端是分支机构的应用程序和服务设备,比如微软邮件管理程序Microsoft Outlook和打印机。我们想要为分支机构建立安全互联网协议(IPsec)过滤器,这样他们就可以与总部连接。我们注意到将设置集中化,分支机构就会不用服务器。那么我们应该如何确定哪些端口应该打开,哪些应该关闭?在这种评估中,常见的错误有哪些?

  答:Internet协议安全性(IPSec)是一个伟大的协议,因为它提供了分组级完整性,认证和加密等功能。经过正确配置后,它可以成为网络安全防护体系中功能强大、性能通用的一个组成部分。

  IPSec也使确认可以使用服务器上运行的服务程序的人成为可能。因此,举例来说,IPSec可以通过设置,加密所有的终端服务网络流量,并检查来自授权用户电脑、在传输过程中未被改变的数据包。在你的总公司和分支机构之间的网络上构建IPSec过滤器,理论上讲,你需要在非产品服务器和工作站上进行测试和验证这些过滤器。这样做可以确保正确的用户可以获取合适的服务,并确保你没有不小心拒绝了为合法用户提供服务。

  尽管你的应用程序文件应当提供它们所有需要用到的端口和协议,但是仍然需要仔细检查,以确保所有的服务能正常运行。比如,如果防火墙将你的服务器和工作站隔离开来,防火墙必须保证TCP 端口50 和 51,以及 UDP 端口500开放,允许各种IPsec 和因特网密钥交换(IKE)流量通过。

  IPsec的另一个优点是,IPsec制定了一条规则,可以将其修改设置为仅允许特定的IP地址访问系统。当所有的服务器的收听服务使用的必需协议和端口已经经过选择和过滤了,只要确定网络的主机或者你想要连接的分支网络。最后,创建一个过滤器来阻止那些未经允许流量。

  要测试过滤器,简单的方法是尝试从被允许的分支网络和不允许连接的地址进入你的主要办公服务系统。检查分支机构工作站与你的主要办公服务器之间的连接是否经过加密,可以使用Windows IPsec监控工具Ipsecmon.exe。

  启动从客户机到服务器的连接,并检查Ipsecmon.exe在其监控窗口上显示的连接情况。状态指示器应当显示IP安全已在该计算机上运行。如果没有,那么就需要确定该策略是由组策略编辑器分配的。

  Vista系统的一个明显的改进是将防火墙过滤功能和IPsec保护功能设置结合在一起。这样,当启动防火墙过滤器时,它将不再与IPsec策略冲突。现在使用一种名为Windows防火墙的snap-in,它具有高级安全功能,就可以对防火墙规则进行确认、添加,修改和删除。

  最后,运行深度防御的安全模式来保护网络。IP安全过滤器应当只是总体防御系统中的一部分。毕竟,它们只是网络过滤器,并不能阻止服务拒绝攻击,或防止过滤器所允许的应用程序在服务器上的运行。

相关推荐

  • 企业垃圾邮件过滤器现状:还可以做得更好吗?

    企业垃圾邮件过滤器的工作方式令人惊讶:一封电子邮件将经过多次合法性检查才能达到目的地。尽管有这么多的过滤器,我们仍然不断地收到大量各种各样的垃圾邮件。

  • 用Ros做Ipsec的实战操作方法(附图)

    有位安全同仁遇到ros的ipsec设置难题:ros在总公司且固定ip,但是地下站点都是adsl拨号上网,现在要做ipsec的服务端,这时ros设置上面非要填对方的公网地址……

  • 保障无线网络安全的技巧

    你是否想过怎样让自己的无线网络更安全?本文不再详述已被大家熟悉的基本技术,而讨论可增强无线网络安全性的高效策略……

  • 解决统一通信系统中安全的五个法门

    统一通信是将计算机网络与传统通信网络融合在一个网络平台上,开放性和普遍性固然使IP网络成为强大的业务工具,但也同时为它带来了巨大的安全隐患……