1、IP安全策略(1)使用 Internet 协议安全(IPSec)为网络通信提供数据保密性、完整性、真实性和反重播保护:使用 IPSec 传输模式提供客户机到服务器、服务器到服务器和客户机到客户机之间的端对端安全。使用受 IPSec 保护的第二层隧道协议(L2TP)保护从客户机到网关在 Internet 上的远程访问的安全。IP安全策略(2)由多条IPSec规则组成,每条规则包括:筛选器列表 筛选器列表包含一个或多个预定义数据包筛选器,这些筛选器描述为该规则而配置的筛选器操作适用的通信类型。筛选器操作 筛选器操作包含与筛选器列表匹配的数据包所需的操作类型(允许、阻止或协商安全)。验证方法Kerb
2、eros V5 协议、证书或预先共享密钥 隧道终结点 指定是否以隧道方式进行通信,如果是,则指定隧道终结点的 IP 地址。连接类型 IP安全策略(3)默认IP安全策略服务器(请求安全)Server(Request Security)客户端(仅响应)Client(Respond Only)安全服务器(要求安全)Secure Server(Require Security)IP安全策略(4)IP安全策略的应用仅适用于Win2000以上系统Active Directory的IP安全策略本地计算机的IP安全策略只能指派一条IP安全策略IP安全策略操作演示禁用ICMP协议关闭139/445端口加密数据禁
3、用139/445端口(1)SMB(Server Message Block)用于文件和打印共享服务。Windows2000以上操作系统中,SMB除了基于NBT的实现,还通过445端口实现。当client(Win2000/XP/2003,允许NBT)连接SMB服务器时,它会同时尝试连接139和445端口,如果445端口有响应,那么就发送RST包给139端口断开连接,以445端口通讯。当445端口无响应时,才使用139端口。当Client(Win2000/XP/2003,禁止NBT)连接SMB服务器时,那么它只会尝试连接445端口,如果无响应,那么连接失败。如果win2000服务器允许NBT,那么
4、UDP端口137、138,TCP 端口 139、445将开放。如果 NBT 被禁止,那么只有445端口开放。禁用139/445端口(2)禁用139/445端口(3)禁用139/445端口(4)禁用139/445端口(5)禁用139/445端口(6)禁用139/445端口(7)禁用139/445端口(8)禁用139/445端口(9)禁用139/445端口(10)禁用139/445端口(11)禁用139/445端口(12)禁用139/445端口(13)禁用139/445端口(14)禁用139/445端口(15)禁用139/445端口(16)禁用139/445端口(17)禁用139/445端口(18
5、)禁用139/445端口(19)同样创建禁用445端口的“筛选器列表”和“筛选器操作”禁用139/445端口(20)禁用139/445端口(21)禁用139/445端口(22)禁用139/445端口(23)禁用139/445端口(24)在非域成员的计算机上,会出现图示警告,选是禁用139/445端口(25)禁用139/445端口(26)为IP安全策略创建安全规则禁用139/445端口(27)禁用139/445端口(28)禁用139/445端口(29)禁用139/445端口(30)禁用139/445端口(31)禁用139/445端口(32)如果选择编辑属性,点完成会出现下图。禁用139/445端口(33)上图选择编辑属性 才出现。禁用139/445端口(33)禁用139/445端口(34)同样创建禁用445端口的IP安全规则。禁用139/445端口(35)指派IP安全策略,即时生效禁用139/445端口(38)未禁用时,用WhoisAdmin.exe扫描的结果。禁用139/445端口(39)禁用以后的扫描结果。
