Windows_Server_2003_IP_安全策略.ppt

IP安全策略(1) 使用 Internet 协议安全 (IPSec) 为网络通信提供数据保密性、完整性、真实性和反重播保护： 使用 IPSec 传输模式提供客户机到服务器、服务器到服务器和客户机到客户机之间的端对端安全。 使用受 IPSec 保护的第二层隧道协议 (L2TP) 保护从客户机到网关在 Internet 上的远程访问的安全。 IP安全策略(2) 由多条IPSec规则组成，每条规则包括: 筛选器列表 筛选器列表包含一个或多个预定义数据包筛选器，这些筛选器描述为该规则而配置的筛选器操作适用的通信类型。 筛选器操作 筛选器操作包含与筛选器列表匹配的数据包所需的操作类型（允许、阻止或协商安全）。 验证方法 Kerberos V5 协议、证书或预先共享密钥 隧道终结点 指定是否以隧道方式进行通信，如果是，则指定隧道终结点的 IP 地址。 连接类型 IP安全策略(3) 默认IP安全策略 服务器(请求安全) Server (Request Security) 客户端(仅响应) Client (Respond Only) 安全服务器(要求安全) Secure Server (Require Security) IP安全策略(4) IP安全策略的应用 仅适用于Win2000以上系统 Active Directory的IP安全策略 本地计算机的IP安全策略 只能指派一条IP安全策略 IP安全策略操作演示 禁用ICMP协议 关闭139/445端口 加密数据 禁用139/445端口(1) SMB(Server Message Block) 用于文件和打印共享服务。 Windows2000以上操作系统中,SMB除了基于NBT的实现，还通过445端口实现。 当client（Win2000/XP/2003,允许NBT）连接SMB服务器时，它会同时尝试连接139和445端口，如果445端口有响应，那么就发送RST包给139端口断开连接，以445端口通讯。当445端口无响应时,才使用139端口。 当Client（Win2000/XP/2003,禁止NBT）连接SMB服务器时，那么它只会尝试连接445端口，如果无响应，那么连接失败。 如果win2000服务器允许NBT, 那么UDP端口137、138, TCP 端口 139、445将开放。 如果 NBT 被禁止, 那么只有445端口开放。 禁用139/445端口(2) 禁用139/445端口(3) 禁用139/445端口(4) 禁用139/445端口(5) 禁用139/445端口(6) 禁用139/445端口(7) 禁用139/445端口(8) 禁用139/445端口(9) 禁用139/445端口(10) 禁用139/445端口(11) 禁用139/445端口(12) 禁用139/445端口(13) 禁用139/445端口(14) 禁用139/445端口(15) 禁用139/445端口(16) 禁用139/445端口(17) 禁用139/445端口(18) 禁用139/445端口(19) 禁用139/445端口(20) 禁用139/445端口(21) 禁用139/445端口(22) 禁用139/445端口(23) 禁用139/445端口(24) 禁用139/445端口(25) 禁用139/445端口(26) 禁用139/445端口(27) 禁用139/445端口(28) 禁用139/445端口(29) 禁用139/445端口(30) 禁用139/445端口(31) 禁用139/445端口(32) 禁用139/445端口(33) 禁用139/445端口(33) 禁用139/445端口(34) 禁用139/445端口(35) 禁用139/445端口(38) 禁用139/445端口(39) 为IP安全策略创建安全规则 如果选择[编辑属性]，点[完成]会出现下图。 上图选择[编辑属性] 才出现。 同样创建禁用445端口的IP安全规则。 * * 同样创建禁用445端口的“筛选器列表”和“筛选器操作” 在非域成员的计算机上，会出现图示警告，选[是] *