IPSec实践

hpliao

       公司内网近段时间老是因为内部聊天软件的大量数据的传输导致网络变慢，且还有更今人恼火的匿名发送信息的情况发生，为使这些违规的操作能得到有力的阻止，也想过很多办法，因为是在内网，也因为自己才疏学浅，一直没有找到有效的办法。
       今天看到一篇文章介绍IPSEC方面的东东，看完之后对IPSEC数据加密传送还是不是很了解，但发现利用他来控制内部通讯软件还是很有效的，只需我们找到相应软件走的端口，然后给予CLOSE，就搞掂，，当然要知道一款软件网络通信时所用的端口相信大家都不是问题，下面就讲讲我在利用IPSEC对这款内网聊天工具管制的步骤（最好采用域环境）：
1、  打开组策略管理器（推荐使用gpmc.msc）,然后新建一组策略，然后我们对新建的组策略进行编辑，在新建的组策略里我们依次点开：“计算机配置—WINDOWS设置—安全设置—IP安全设置，在Active Directory（。。。。）”
2、  在“IP安全设置，在Active Directory Active Directory”中，我们在右边的窗口中点右键“创建IP安全策略” 如图1

创建IP安全策略
3、  在“IP安全策略名称”窗口里，我们在名称栏内随便输入一策略名称如deny ciqq，选中“IP安全通讯请求”窗口里的“激活默认响应规则“选项

输入IP安全策略名称


激活默认响应规则
4、  在“默认响应规则身份验证方法“窗口中，我们选项取“Active Directory默认值(Kerberos v5协议)”选项，点下一步，选取“编辑属性”选项，按完成

默认响应规则身份验证方法


5、  在新建的IP安全策略“deny ciqq”的属性窗口中，我们开始新建IP安全规则，首先我们点一下使用“添加向导”前面的复选框取消使用“添加向导”，然后选“添加”按钮开始新增安全规则

Deny ciqq属性
6、  在新规则属性窗口中，按添加按钮新添加筛选器列表，在“IP筛选器列表”窗口，在名称处随便输入筛选器列表的名称，如all client，再取消使用添加向导，添加筛选器

IP筛选器列表

7、  在“IP筛选器属性”窗口中，点选“地址”选项，在源地址下我们选择我的IP地址，在目的地址我们选择一个特定的IP子网，然后在下面的IP地址及子网掩码内输入相应的数值，在“协议”选项中，我们将协议类型选TCP，设置IP协议端口从任意端口到到此端口（4444），点确定完成筛选器添加

IP筛选器属性地址选项

IP筛选器属性协议选项
8、  然后我们开始添加筛选器操作，在新规则属性窗口中，我们点选“筛选器操作”选项，取消使用添加向导选项，点添加，在“新筛选器操作属性”窗口中，在“安全措施”选项我们选取“阻止”，在“常规”选项，我们输入筛选器操作名称，如：DENY，确定后返回到添加规则窗口

新筛选器操作属性

9、  在“添加规则属性”窗口，在“IP筛选器列表”列表框中我们选择刚才新建的IP筛选器列表“all client”, 在“筛选器操作”列表框中选择刚才新建的操作“DENY”
点击确定完成IPSEC设置
10、              设置完成后返回到组策略编辑窗口，然后点选刚才新建的安全策略“deny ciqq”,选择指派
11、              最后做一下组策略的UPDATE即可



本文来自ChinaUnix博客，如果查看原文请点：http://blog.chinaunix.net/u/29781/showart_411158.html