|
TCP/IP筛选 VS IPSec 策略(2) TCP/IP筛选只可只设定客户端通过几个固定的TCP或UDP端口进行对服务器的访问,或限定IP访问,每增加一次就要重启服务器一次,只能适合比较小型访问,原来我为了让Serv_u能进行正常访问,加了N个端口,累的要死(因为FTP软件连接到FTP服务器的话,会随机使用一些端口,因为设定问题,就看不到目录了)...现在想起来也好笑.
IPSec 策略可设定即时生效,不用重启服务器,可对端口或IP进行封锁或访问,可拒绝一些不安全端口的访问,也可像TCP/IP筛选一样只设定客户端通过几个固定的TCP或UDP端口进行对服务器的访问,可选择性要大很多,其中的许可比拒绝优先,这样就可以设定优先通过某一些特定的IP,也可设定某个IP只能访问某个端口之类的,只要你有想像力,哈哈,就很简单了,这里我写的都是一些知识,没有写操作步骤,因为操作很简单,只要说一下原理,懂原理比操作更快
如安全方面的话,TCP/IP筛选会在注册表中的
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\Tcpip\Parameters
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Services\Tcpip\Parameters
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet003\Services\Tcpip\Parameters
中的EnableSecurityFilters值上设定,当为"EnableSecurityFilters"=dWord:00000001,即TCP/IP筛选生效,当为"EnableSecurityFilters"=dword:00000000,即TCP/IP筛选失效,这样就给我们一个漏洞了,用regedit -e导出以上三个键值,把EnableSecurityFilters值改成dword:00000000,regedit -s,嘻嘻,你设的再多也等于零
IPSec 策略就没有这个安全隐患,上面还有IPSec 策略的一些加密说明,安全吧??!!而且IP策略可以备份为文件方便在不同的电脑上使用,不过2K和XP或2K3使用的不同,这点到是要注意一下
说明一下,这些设定只是针对端口或IP进行管理的,没什么很高深的东西,而且有一些功能是无法进行设定的(如果什么都能设定的话,那还需要防火墙做什么),但这是WEB服务器的第一道关口,如果不设置好的话,后面很容易出问题的,我刚给出的只是一个例子,破TCP/IP筛选有几种方法,这里就不好说明了,总结一下,TCP/IP筛选只是开胃菜,IPSec 策略是红酒,防火墙是面包,防火墙是主菜(硬件级的),一样也不能少,都要做好设定,那就这样,回头见啦...
|
