----------------------------------------------------------------------------------------------------------------
文章作者：Crab
文章连接：http://3344520.org/index.php/archives/66
本文首发Crab's Blog，后转载到落伍。转载请注明出处。
----------------------------------------------------------------------------------------------------------------

前言:         
在系统安全 网络安全结合ipsec ，加强安全使用IPSec比内置的防火墙灵活得多  ，也比第三方的防火墙软件简单  同时系统兼容性又好（Win And  unix）.  属于win2003内置的功能，不要钱的！

对于有自己服务器的，IPSEC还是很实用的。比如你采用的是3389远程桌面管理服务器，可以利用IPSEC限制下连接的IP段，要是有2台以上的服务器，分别开启VPN服务，限制只允许指定这2台IP才可以连接。（因为2台可以防止一台服务器VPN挂了话，还有另外一台可以。）当然还可以用到的其他地方很多。在这里自己写写，做记录下！

正文:
第一：网络监听（嗅探） 由于是广播 通过广播，MAC地址，目标接收。sniff (抓到全部流到网卡的 数据包 没加密 可以读出数据)
第二：数据篡改   监听  抓包  从网络删掉  改包  再放到网络继续传递  发送方和接受方不知情
比如银行ATM，取贯机，取钱10000，传输到银行后台数据库，4个0修改为2个0，真实是取1000后台就以为是100。
第三：欺骗    封装数据包  包含目标地址 源地址  攻击数据包，修改源地址别人地址或不存在地址。分析数据包出来也是错的。IP ARP DNS 欺骗
第四：中间人攻击    包含 （数据篡改 网络监听）
第五：密码破解   破解系统密码 （通过监听 抓密码 比如HTTP登陆网页   HTTP默认是不加密数据  客户端输入的密码 到服务端）
第六：缓冲区溢出  主要是软件 程序漏洞进行的  等到权限   不是网络 协议导致
----------------------------------------------------------------------------------------------------------很黄很暴力的分割线-----------------------------------------------------------------

先知道黑客怎么入侵，攻击的手段，再加强网络安全。才能够做防范。
----------------------------------------------------------------------------------------------------------很傻很天真的分割线-----------------------------------------------------------------
第一：数据保密性   数据加密   从A-B的数据是加了密再发送到B   （加密的数据和要发送的数据不同）
第二：数据完整性  防止数据被篡改   用HASH算法 （单向的）根据原始数据 算出128位数字  主要确认接收和发送的数据一样   发送2部分 原始数据和HASH算完的128位字符   接到的数据做运算，与接收的HASH做对比  以确保数据一模一样。
第三：认证  密码身份验证
第四：不口否认性
----------------------------------------------------------------------------------------------------------很好很强大的分割线-----------------------------------------------------------------

IPSEC
创建IP安全策略，添加IP安全规则（筛选器，筛选器动作，身份验证等）。
----------------------------------------------------------------------------------------------------------很娇很冠希的分割线-----------------------------------------------------------------

禁用协议
例子：ping
筛选器:源地址：任何IP地址 目标地址：我的IP地址  协议：icmp
筛选器动作: ①通过②阻止③协商安全
启用策略：指派策略
效果：ping 不了，显示Request timed out.


关闭端口
例子：80
筛选器:源地址：任何IP地址 目标地址：我的IP地址  协议：tcp  设置IP端口：从任意端口到此端口（连接端口是随机的，被连接端是固定的。比如客户端使用随机端口访问web服务器的固定80端口）
筛选器动作: ①通过②阻止③协商安全
启用策略：指派策略
效果:telnet ip 80,连接不上.

身份验证&数据加密
例子：ping
抓包工具：network monitor 或是 SmartSniff
可以看到抓到8个包，因为 ping默认是4个包，来回就是8个。第一个包是192.168.199.128 ping 192,168.199.131可以看到包的内容.之所以可以看到包内容，是因为ping命令默认是不加密的。

利用IPSEC做加密，需要2台机器上都要分别做加密，而且加密算法要一致，这样才可以兼容！
筛选器动作:协商安全
添加→安全措施（仅保持数据完整性，利用HASH算法，不加密数据，只保证数据不被篡改，只要数据被篡改，数据就不会被接收。加密并保持完整性，保持数据不被篡改，又加密数据。或者自定义！）
会话密钥设置：可以默认，
身份验证方法
①KERBEROS协议（需要域环境在才可以用）
②证书（需要有证书颁发机构，比如用win2003.）
③预共享密钥 (工作组可以采用这个)
以下是加密与不加密抓包的对比





[ 本帖最后由 梁静茹 于 2008-3-11 22:41 编辑 ]

哎呀~看了12人，没一个支持啊！

俺打字累死了 - -！

不错支持一个

不错IPSEC+端口筛选  也很娇~~

引用:

原帖由 DieRock 于 2008-3-11 09:52 发表
不错IPSEC+端口筛选  也很娇~~

谢谢！

支持一下!

不错，能出一个更详细的就好了

能写的再详细点不?我小白 看不明白

哥们 看不明白 再详细点可以吗?

回复下7 8 9楼

因为这个只是个笔记，前面部分主要是些概念

详细的话，大家可以直接跳到

禁用协议
例子：ping
关闭端口
例子：80

步骤因为文字描述~没上图片！ 以上的禁用协议，关闭端口，基本够用了！