使用IPSec保護服務器安全

不管是在Windows XP上啟用防火墻還是Windows Server上配置TCP/IP篩選，都不能嚴格控制出去的流量。因此如果你的服務器中了***程序（比如中了灰鴿子***程序），該程序會主動連接***者建立會話，***者就能監控和控制你的服務器了。

最大化配置服務器網絡安全，你可以嚴格控制進出服務器的流量，比如你的服務器是Web服務器，你可以配置只允許TCP目標端口80的數據包進入服務器，TCP源端口為80的數據包離開服務器。這樣即便你的服務器中了灰鴿子***程序，也不能主動連接***者。這種控制方式可以通過配置服務器IPSec來實現，Windows XP，Windows Server 2003和Windows Server 2008都支持IPSec。

下面就以通過IPSec配置Web服務器安全，防止灰鴿子***程序為例。演示***者制作***程序，在Server上啟用Windows防火墻，安裝***程序，在***者遠程控制服務器。配置IPSec，如圖2-143所示，只允許TCP的目標端口為80數據包進入服務器，只允許TCP的源端口為80的數據包離開服務器。驗證***程序不能連接***者。

***者的IP地址為192.168.1.121，服務器Server的IP地址為192.168.1.200。

1．制作***程序

灰鴿子***程序，可以在http://down.51cto.com/搜索“灰鴿子”，可以找到并下載。

中了灰鴿子***程序，會主動連接到***者，***者就可以遠程監控和操控中了***的服務器。這就要求***程序能夠連接到***者，因此生成的***程序必須指定***者的IP地址。

（1）如圖2-144所示，在***者的計算機上安裝并運行灰鴿子***程序，單擊“配置服務程序”按鈕，提示：***程序在中了招的計算機上是以服務的方式存在的。

（2）如圖2-145所示，在出現的“服務器配置”對話框的“自動上線設置”中輸入***者的IP地址。

▲圖2-144 運行灰鴿子***程序 ▲圖2-145 “服務器配置”對話框

（3）如圖2-146所示，在“安裝選項”選項卡中，選中“安裝成功后自動刪除安裝文件”復選框。***程序一般都是在后臺偷偷運行的，取消選中“程序安裝成功后提示安裝成功”和“程序運行時在任務欄顯示圖標”復選框。

（4）如圖2-147所示，在“啟動設置”選項卡中，選中“Win2000/XP下優先安裝成服務啟動”復選框，然后單擊“生成服務器”按鈕，這樣就制作好了***程序。

▲圖2-146 “安裝選項”選項卡 ▲圖2-147 “服務器配置”對話框

（5）如圖2-148所示，可以看到生成的***程序“Server.exe”。

（6）如圖2-149所示，將有***程序的文件夾共享。以方便Server訪問，模擬中***的過程。

▲圖2-148 生成的***程序 ▲圖2-149 共享存放***的文件夾

2．中***的過程

（1）如圖2-150所示，在Server上，打開“本地連接 屬性”對話框，單擊“設置”按鈕，在出現的“Windows防火墻”提示對話框中，單擊“是”按鈕，啟用Windows防火墻服務。

（2）如圖2-151所示，在出現的“Windows防火墻”對話框的“常規”選項卡中，選中“啟用”單選按鈕和“不允許例外”復選框。

▲圖2-150 “本地連接 屬性”對話框 ▲圖2-151 “Windows防火墻”對話框

（3）如圖2-152所示，可以看到本地連接啟用了Windows防火墻的圖標，加了一把鎖。

（4）如圖2-153所示，在Server上訪問***者的共享文件夾，將***程序拷貝到桌面，雙擊，安裝***程序。

▲圖2-152 啟用Windows防火墻 ▲圖2-153 將***拷貝到本地并安裝

3．遠程監控和控制

（1）如圖2-154所示，在***者計算機上，可以看到中了***的計算機自動上線，選中上線的服務器，單擊“捕獲屏幕”按鈕。可以遠程監控Server桌面。

（2）如圖2-155所示，單擊圖中框起的鼠標和鍵盤圖標，還可以控制遠程計算機。

▲圖2-154 捕獲屏幕 ▲圖2-155 遠程控制

（3）如圖2-156所示，在Server上的命令提示符下輸入netstat –n，可以看到***建立的會話。

（4）如圖2-157所示，在Server上，運行msconfig，打開“系統配置實用程序”對話框，選中“隱藏所有Microsoft服務”復選框，可以看到灰鴿子***安裝的服務。

▲圖2-156 灰鴿子建立的會話 ▲圖2-157 安裝的灰鴿子***

4．配置IPSec保護Web服務器

（1）如圖2-158所示，在Server上禁用Windows防火墻。現在使用IPSec嚴格控制出入流量。

（2）如圖2-159所示，選擇“開始”→“程序”→“管理工具”→“本地安全策略”命令。

▲圖2-158 關閉Windows防火墻 ▲圖2-159 選擇“本地安全策略”命令

（3）如圖2-160所示，在打開的“本地安全設置”窗口中，右擊“IP安全策略，在本地計算機”節點，在彈出的快捷菜單中選擇“創建IP安全策略”命令。

（4）在出現的“歡迎使用IP安全策略向導”對話框中，單擊“下一步”按鈕。

（5）如圖2-161所示，在出現的“IP安全策略名稱”設置界面中，輸入名稱和描述信息，單擊“下一步”按鈕。

▲圖2-160 “本地安全設置”窗口 ▲圖2-161 “IP安全策略名稱”設置界面

（6）如圖2-162所示，在出現的“安全通訊請求”設置界面中，取消選中“激活默認響應規則”復選框，單擊“下一步”按鈕。

（7）如圖2-163所示，在出現的“正在完成IP安全策略向導”設置界面中，單擊“完成”按鈕。

▲圖2-162 “安全通訊請求”設置界面 ▲圖2-163 “正在完成IP安全策略向導”設置界面

（8）如圖2-164所示，在出現的“WebServerIPSec屬性”對話框中，取消選中“使用‘添加向導’”復選框，單擊“添加”按鈕。

（9）如圖2-165所示，在出現的“新規則 屬性”對話框中，選中“所有IP通訊”單選按鈕，單擊“篩選器操作”標簽。

▲圖2-164 “WebServerIPSec屬性”對話框 ▲圖2-165 “新規則 屬性”對話框

（10）如圖2-166所示，在“篩選器操作”選項卡中，沒有拒絕的動作，取消選中“使用‘添加向導’”復選框，單擊“添加”按鈕。

（11）如圖2-167所示，在出現的“新篩選器操作 屬性”對話框的“安全措施”選項卡中，選中“阻止”單選按鈕，單擊“常規”標簽。

▲圖2-166 添加篩選器的操作 ▲圖2-167 選擇阻止

（12）如圖2-168所示，在“常規”選項卡中，輸入名稱，單擊“確定”按鈕。

（13）如圖2-169所示，在“新規則 屬性”對話框中，選擇剛剛創建的操作“拒絕通信”，單擊“應用”按鈕。

▲圖2-168 指定操作名稱 ▲圖2-169 選擇操作

（14）如圖2-170所示，單擊“確定”按鈕。

（15）如圖2-171所示，這樣就添加了拒絕所有通信，相當于拔了網線。然后添加規則允許訪問Web站點的流量出入。

▲圖2-170 完成添加規則 ▲圖2-171 添加允許訪問Web服務的規則

（16）如圖2-172所示，在“新規則 屬性”對話框中，單擊“添加”按鈕。

（17）如圖2-173所示，在出現的“IP篩選器列表”對話框中，輸入規則名稱，取消選中“使用添加向導”復選框，單擊“添加”按鈕。

▲圖2-172 添加篩選器列表 ▲圖2-173 添加篩選器

（18）如圖2-174所示，在出現的“IP篩選器 屬性”對話框中，可以看到源地址和目標地址，一定要選中“鏡像，與源地址和目標地址正好相反的數據包相匹配”復選框。

（19）如圖2-175所示，在“協議”選項卡中，協議選擇TCP，“設置IP協議端口”選項組中，選中“從此端口”和“到任意端口”單選按鈕，單擊“確定”按鈕。

▲圖2-174 配置篩選器 ▲圖2-175 指定協議和端口

（20）如圖2-176所示，單擊“確定”按鈕。當然，如果還希望別人訪問FTP站點，你還可以繼續單擊“添加”按鈕，添加相應的篩選器。篩選器列表中可以包括多個篩選器。

（21）如圖2-177所示，在“新規則 屬性”對話框中，選中“允許訪問Web服務”單選按鈕，單擊“篩選器操作”標簽。

▲圖2-176 完成篩選器列表 ▲圖2-177 選擇篩選器規則

（22）如圖2-178所示，在“篩選器操作”選項卡中，選中“許可”單選按鈕，單擊“應用”按鈕。

（23）如圖2-179所示，單擊“確定”按鈕。

▲圖2-178 “篩選器操作”選項卡 ▲圖2-179 單擊“確定”按鈕

（24）如圖2-180所示，到目前為止已經創建了兩個規則，一個是拒絕所有通信，一個是允許訪問Web服務器的流量，多個規則以最佳匹配為準。也就意味著不是訪問Web站點的流量就應用所有IP通信的規則。

（25）如圖2-181所示，右擊剛才創建的WebServerIPSec策略，在彈出的快捷菜單中選擇“指派”命令，該策略生效。

▲圖2-180 創建的兩個規則 ▲圖2-181 指派IP策略

（26）如圖2-182所示，在Server上運行netstat –n命令，可以看到***程序不能和***者的計算機建立會話，這樣***就成了“臥槽馬”，不會為你的Server造成多大危害。

（27）如圖2-182所示，ping ***者的IP地址，出現Destination host unreachable。因為IPSec沒有允許此類通信出入。

（28）如圖2-183所示，在***者計算機上，你也看不到自動上線的主機，就沒辦法監控和控制中了***的服務器。

▲圖2-182 查看會話測試網絡 ▲圖2-183 灰鴿子不能上線了

（29）如圖2-184所示，可以看到，在***者計算機訪問Server的Web站點還是可以的。

▲圖2-184 能夠訪問Web站點

結論	Windows防火墻能夠禁止主動***，但是對***沒有防護作用。Windows的TCP/IP篩選和Windows防火墻類似，能夠禁止主動***，但是對***沒有防護作用。要想使用嚴格控制出入服務器的流量策略，可以使用IPSec實現。

廣告

轉載于:https://blog.51cto.com/91xueit/1135840

總結

以上是生活随笔為你收集整理的实战：使用IPSec保护服务器安全的全部內容，希望文章能夠幫你解決所遇到的問題。

如果覺得生活随笔網站內容還不錯，歡迎將生活随笔推薦給好友。