使用IPSec加强系统安全性

使用IPSec加强系统安全性

                黑客常用的攻击手:网络监听 数据篡改 欺骗 中间人攻击 密码破解　绶冲区溢出  

     IPSEC策略:IPsec使用策略和规则提升网络安全性    规则包含:筛选器  筛选器动作  身份验证方法

      默认策略:client  server  Secure Server     

      IPSEC能做什么?   加密数据   关闭端口  禁用协议  身份验证 

     我已经准备二台windowsxp虚拟机 一台IP地址是192.168.0.6 另一台IP地址是192.168.0.8   我现在到IP地址为192.168.0.8那台虚拟机上  ping 192.168.0.6那台虚拟机     看到了吗？　　现在表示可以ping通的   开始的时候bytes=32表示32字节　　我再用-l参数ping  -t参数表示不停地ping　　ping 192.168.0.6 -l 65500    现在bytes(字节)=65500了    当ping超过65500后就出现Bad value for option -l　意思就是说-l参数是一个坏值    valid range is from 0 to 65500  意思就是说合法范围是从0到65500

  但是有一些黑客用一些软件了做成2个包   每个包都比65500小  二个包加起来就比65500大了    然后把这二个包发到对方的机器上当对方一接收到 就ping成一个包  一旦ping成功对方的机器就变成蓝屏了 

       通过开始--运行--输入mmc按确定来打开控制台--文件--添加/删除管理单元--添加--IP安全策略管理--添加

    这里面可以管理本地计算机   本域计算机     另一个域的计算机    也可以管理远程计算机   我就选择管理本地计算机吧  按完成

    这里可以看到系统默认的三条策略　如果你想启用它　就对着它右键--选择指派就启用了  我现在想做一个不让别人ping我的策略  在空白处右键--选择创建IP安全策略

             现在可以看到IP安全策略向导了   接着下一步 

                名称就叫做No Ping吧      接着下一步

      在IPsec里面有一条默认的规则　它里面有一些筛选器的   我现在用不着所以就把激活默认响应规则的沟去掉吧　接着下一步

           这里我就把编辑属性的沟去掉了   然后按完成

＜动态＞没沟证明这条规则没启用  我现在自己来做一条规则　如果你不喜欢向导界面的话　就把使用"添加向导"的沟去掉 　按添加--在新规则性属性里面--按添加     

     筛选器的名称就叫做Ping吧       同样把使用"添加向导"的沟去掉  按添加   在筛选器属性里面  源地址选择任何IP地址 目标地址选择我的IP地址  按一下协议然后选择ICMP协议 如果把镜像沟上的话　我也Ping不了别人了     按确定

         在新规则属性--选择筛选器操作--添加--在安全措施里面选择阻止   常规名称就输入No吧      按确定 

             注意:完成后一定要给刚才新建的规则启用    对着No Ping右键--选择指派就ok了

　　因为我刚才把镜像沟上了　所以我也ping不了别人    你看我ping 192.168.0.8那台XP就出现 Destination host unreachable这表示ping包根本都不出去

       看到了吗？　　我现在到192.168.0.8这台计算机也ping不通192.168.0.6那台计算机

           在命令提示符下输入netstat -na按回车键可以查到所有的端口  第一列指的是TCP UDP协议  第二列指的是IP地址和开放端口

  1900那个端口表示别人可以连到我    每台计算机都有65536个端口  标号从0到65535     如何查到开放端口呢？只要在State下面显示为LISTENING就表示是开放端口       开放端口就表示别人可以连接到你这个端口　　　　

       我现在到192.168.0.8那台计算机     在命令提示符下输入telnet 192.168.0.6 139 来连接到192.168.0.6那台计算机的139端口 按回车键后  如果什么都没有然后有一个光标一直在闪就表示已经连上了

    看到了吗？　ESTABLISHED表示已经建立连接了    指的是192.168.0.8这台计算机用它的1156端口连接到192.168.0.6那台计算机的139端口      

    如果想关端口的话   就打开本地连接--属性--TCP/IP属性--高级--选项--属性--只允许--接着添加你允许的端口  没有添加的端口就表示关闭端口  

                   我现在来创建IP安全策略来关闭139端口给大家看一下 

                 这里就不激活默认响应规则了     接着下一步

               这一步我编辑属性沟上直接打开编辑属性　　按完成

         我刚才输入的名称就叫做close 139  接着按添加--添加名称也叫做139吧--添加--然后到筛选器属性里面--寻址--任何IP地址到我的IP地址    协议选择TCP　　　从任意端口到139端口

                    注意：最后还要对着刚才创建的规则右键选择指派才启用 

      看到了吗？　　我现是在192.168.0.8这台计算上   想连接到192.168.0.6那台计算机的139端口  结果没办法连接到