Использование списка IP-фильтров IPSec в Windows 2000

Переводы статьи Переводы статьи
Код статьи: 313190 - Vizualiza?i produsele pentru care se aplic? acest articol.
Развернуть все | Свернуть все

В этой статье

Аннотация

Использование безопасности IP-протокола (IPSec) на компьютере под управлением Windows 2000 позволяет повысить уровень защищенности сети. IPSec применяется к связи в сети на основании одноименной политики. Политика IPSec служит для определения ситуаций, когда между компьютерами должна использоваться безопасная связь IPSec. Кроме того, она используется для фильтрации входящих и исходящих пакетов на сетевом интерфейсе компьютера.

В основе политики IPSec лежат два компонента:
  • списки IP-фильтров

    и
  • действия IP-фильтров
Список фильтров протокола Интернета (IP-фильтров) представляет собой список протоколов и папок. Так например, можно создать запись списка фильтров, чтобы разрешить подключение всем компьютерам к TCP-порту 80 локального интерфейса. Другая запись в том же списке может предоставлять доступ к TCP-порту 25, а еще одна — к UDP-порту 53 на локальном интерфейсе.

Когда на интерфейс компьютера приходит пакет, которому соответствует запись в списке фильтров, агент политики IPSec использует действие фильтра, назначенное в списке фильтров. Предположим, что рассмотренному выше списку фильтров было назначено действие «Блокировать». В этом случае будут заблокированы все пакеты, которые были направлены на TCP-порты 80 и 25, а также UDP-порт 53. И наоборот, если рассмотренному выше списку фильтров назначить действие «Разрешить», все пакеты, направленные на TCP-порты 80 и 25, а также UDP-порт 53, будут пропущены.

Списки фильтров и действия фильтров IPSec предоставляют возможность проведения эффективного контроля доступа на всех интерфейсах. Политики IPSec применяются ко всем интерфейсам группового компьютера. Выборочное применение политики IPSec только к определенным интерфейсам не предусмотрено.

В состав Windows 2000 входят два списка IP-фильтров по умолчанию:
  • Весь ICMP-трафик

    и
  • Весь IP-трафик
По умолчанию предусмотрено три действия фильтров.
  • Разрешить

  • Запрос безопасности (необязательно)

  • Требовать безопасность

Создание списка фильтров IPSec

Чтобы создать список фильтров IPSec для применения к входящим TCP-портам 80 и 25, необходимо выполнить следующие действия.
  1. Нажмите кнопку Пуск и выберите последовательно пункты Программы, Администрирование и Локальная политика безопасности.
  2. Разверните компонент Параметры безопасности.
  3. На левой панели щелкните правой кнопкой мыши элемент Политики IP-безопасности и выберите команду Управление IP-фильтром.
  4. В диалоговом окне Управление списками IP-фильтра и действиями фильтра перейдите на вкладку Управление списками фильтров IP и нажмите кнопку Добавить.
  5. Введите строку TCP-порты 80 и 25 в поле Имя, а затем описание списка фильтров Разрешить входящий трафик на TCP-портах 80 и 25 в поле Описание.
  6. Снимите флажок Использовать мастер и для добавления новой записи в список фильтров нажмите кнопку Добавить.
  7. Откройте вкладку Адресация.
  8. В поле Адрес источника установите значение Любой IP-адрес.
  9. В поле Адрес назначения установите значение Мой IP-адрес. Установка таких значений означает, что фильтр будет применяться к входящим пакетам.
  10. Снимите флажок Отраженный.
  11. Перейдите на вкладку Протокол.
  12. В поле Выберите тип протокола установите значение TCP.
  13. Установите параметры Пакеты на этот порт и Пакеты из любого порта.
  14. В поле Пакеты на этот порт введите значение 80.
  15. Нажмите кнопку Применить, а затем — кнопку OK.
  16. В диалоговом окне Список фильтров IP нажмите кнопку Добавить.
  17. Откройте вкладку Адресация.
  18. В поле Адрес источника установите значение Любой IP-адрес.
  19. В поле Адрес назначения установите значение Мой IP-адрес. Установка таких значений означает, что фильтр будет применяться к входящим пакетам.
  20. Установите флажок Отраженный. В результате этого будет создан фильтр с противоположными значениями IP-адреса источника и назначения.
  21. Перейдите на вкладку Протокол.
  22. В поле Выберите тип протокола установите значение TCP.
  23. Установите параметры Пакеты на этот порт и Пакеты из любого порта.
  24. Введите значение 25 в поле Пакеты на этот порт.
  25. Нажмите кнопку Применить, а затем — кнопку OK.
  26. В диалоговом окне Список фильтров IP нажмите кнопку Закрыть.

Создание политики IPSec, основанной на списке фильтров

Для создания на базе списка фильтров политики IPSec необходимо выполнить следующие действия.
  1. На левой панели щелкните правой кнопкой мыши элемент Политики IP-безопасности и выберите команду Создать политику безопасности IP.
  2. На странице приветствия мастера политики IP-безопасности нажмите кнопку Далее.
  3. В диалоговом окне Имя политики безопасности IP, в поле Имя введите в качестве названия политики Разрешить входящий трафик на TCP-портах 80 и 25 и нажмите кнопку Далее.
  4. Снимите флажок Использовать правило по умолчанию и нажмите кнопку Добавить.
  5. В диалоговом окне Завершение работы мастера политики IP-безопасности установите флажок Изменить свойства и нажмите кнопку Готово.
  6. Перейдите на вкладку Правила.
  7. Снимите флажок Использовать мастер и нажмите кнопку Добавить.
  8. Перейдите на вкладку Список фильтров IP.
  9. Установите Параметр слева от списка фильтров TCP-порты 80 и 25.
  10. Перейдите на вкладку Действие фильтра.
  11. Установите Параметр слева от значения Разрешить.
  12. Нажмите кнопку Применить, а затем — кнопку OK.
  13. Флажок TCP-порты 80 и 25 установлен. Нажмите кнопку Закрыть.
Политика IPSec проверяет пакеты, поступающие на ТСР-порты 80 и 25 локального интерфейса, и сопоставляет их с установленным действием фильтра «Разрешить» (пропускает пакеты).

Примечание. Поскольку правило отказа для блокирования другого трафика отсутствует, назначение этой политики означает разрешение всего трафика. Чтобы разрешить только трафик, указанный в рассмотренной выше политике, необходимо создать правило отказа для отсечения всего трафика.

Свойства

Код статьи: 313190 - Последний отзыв: 9 марта 2004 г. - Revision: 2.0
Информация в данной статье применима к:
  • операционная система Microsoft Windows 2000 Server
  • Microsoft Windows 2000 Advanced Server
Ключевые слова: 
kbhowtomaster KB313190

Отправить отзыв

 

Contact us for more help

Contact us for more help
Connect with Answer Desk for expert help.
Get more support from smallbusiness.support.microsoft.com