怎么利用Window自帶Ipsec安全策略對(duì)服務(wù)器進(jìn)行安全加固

1、怎么利用Window 自帶Ipsec安全策略對(duì)服務(wù) 器進(jìn)行安全加固 網(wǎng)絡(luò)安全是目前互聯(lián)網(wǎng)的熱門話題之一，作為個(gè)人用戶的我 們同樣需要關(guān)注，做好防護(hù)。這篇文章主要介紹了利用 Window自 帶Ipsec安全策略進(jìn)行安全加固，需要的朋友可以參考下 Ipsec安全策略 方法：設(shè)置安全策略。采用 window 的IPSec進(jìn)行防護(hù)。 允許803306端口。拒絕所有其他端口連接。 1 :控制面板-系統(tǒng)和安全-管理工具-本地安全策略 打開本地安全策略。默認(rèn)是沒有的。這里我已經(jīng)添加一個(gè)策 略。 右鍵屬性，直接點(diǎn)擊添加 需要注意，該安全策略的排序方法是以英文字母數(shù)字類型來 排序的。a開頭在下邊（首次不設(shè)置為拒

2、絕，只允許） 鑒于是客戶端訪問固定服務(wù)器。所以我們這里直接默認(rèn) 網(wǎng)絡(luò)類型，我們采用所有網(wǎng)絡(luò)連接 直接點(diǎn)擊添加。這樣就開始添加。Ip篩選器列表中可以添 一個(gè)熟悉的名稱。 點(diǎn)擊添加 下一步的時(shí)候我們看到這里便是用來寫描述的。勾選鏡像 下一步后我們看到的是ip流量的來源。這里我們根據(jù)情況， 我們提供的是web的服務(wù)。所以，我們?cè)试S所有ip即源地址選擇任 ii 何ip地址 下一步后，需要選擇目標(biāo)地址，因?yàn)槲覀冃枰靼椎氖强蛻?端訪問我們這臺(tái)提供 web服務(wù)的server。所以我們直接選擇我的IP 地址 11因?yàn)槭莌ttp服務(wù)，所以選擇tcp，然后點(diǎn)擊下一步。到 協(xié)議端口設(shè)置 根據(jù)信息，是從客戶端請(qǐng)求本

3、服務(wù)器的 80端口。所以這個(gè) 地方選擇，到此端口。點(diǎn)擊完成。 這樣一個(gè)ip篩選器就建立完畢。 全部建立完畢，我們選擇其中一個(gè)， 點(diǎn)擊下一步。進(jìn)行設(shè)置篩選器的操作方式，（我之前已經(jīng)添 加過）這里我們點(diǎn)擊添加 進(jìn)入篩選器名稱創(chuàng)建，因?yàn)槭?80端口。所以我們這里命名 無條件允許 點(diǎn)擊下一步后。可以選擇的操作行為選項(xiàng)有3個(gè)。許可阻止 和協(xié)商安全。我們直接選擇許可 點(diǎn)擊完成。返回到當(dāng)前安全規(guī)則向?qū)ы撁妫覀冞x中我們 建立的允許方法， 點(diǎn)擊下一步完成，繼而返回，我們繼續(xù)添加需要的列表。在 IP篩選列表頁面。我們接著選擇其他端口。繼續(xù)剛才的行為設(shè)置。全 部完成后點(diǎn)擊確定。 以上設(shè)置的時(shí)我們常見的服務(wù)，（例如

4、提供到公網(wǎng)上的web。 或者某些固定公開端口 ) 訪問規(guī)則 我們接下來就開始設(shè)置，固定的訪問規(guī)則，例如網(wǎng)站數(shù)據(jù)庫 分開的情況。 那么我們需要了解的就是3306是固定機(jī)器訪問固定機(jī)器， 其他任何人沒有權(quán)限不能訪問該端口。服務(wù)器提供的80端口是公開 的，我們80端口就按照上邊所屬進(jìn)行設(shè)置即可。 來看我們3306如何設(shè)置固定訪問端口： 在ip篩選器列表中，點(diǎn)擊添加 寫好名稱。然后點(diǎn)擊添加-下一步，設(shè)置描述信息-設(shè)置ip 流量源。 因?yàn)榫W(wǎng)站是請(qǐng)求端，而數(shù)據(jù)庫服務(wù)器是目標(biāo)。所以這里我們 設(shè)置我們自己的IP地址 點(diǎn)擊下一步，我們開始設(shè)置目標(biāo)地址。選擇一個(gè)特定的ip 地址或者子網(wǎng)。我們選擇個(gè)ip地址 點(diǎn)擊下

5、一步，選擇協(xié)議為tcp協(xié)議端口為3306點(diǎn)擊完成。 到ip篩選器列表我們點(diǎn)擊確定，返回到選擇界面。選擇我們當(dāng)前設(shè) 置的3306篩選器，點(diǎn)擊下一步，創(chuàng)建安全規(guī)則向?qū)У牟僮鳌?23點(diǎn)擊添加，我們這次選擇，協(xié)商安全。點(diǎn)擊下一步 完成后。我們?cè)诎踩?guī)則頁面。選中我們寫的協(xié)商選項(xiàng) 我們?cè)谏矸蒡?yàn)證方法中。設(shè)置字符串保護(hù)方法 至此，全部完成。我們點(diǎn)擊策略規(guī)則右鍵選擇分配。這樣就 ok 了。千萬千萬不要忘記，最后設(shè)置 w開頭的拒絕策略。來自所有 的，到本server的。所有協(xié)議，拒絕！。 結(jié)果：僅僅網(wǎng)頁訪問正常，遠(yuǎn)程調(diào)用數(shù)據(jù)庫可以進(jìn)行。 相關(guān)閱讀：2018網(wǎng)絡(luò)安全事件： 一、英特爾處理器曝“ Meltdown

6、 ”和“ Spectre漏洞” 2018年1月，英特爾處理器中曝“ Meltdown ”（熔斷）和 “Spectre ”（幽靈）兩大新型漏洞，包括 AMD、ARM、英特爾系統(tǒng) 和處理器在內(nèi)，幾乎近20年發(fā)售的所有設(shè)備都受到影響，受影響的 設(shè)備包括手機(jī)、電腦、服務(wù)器以及云計(jì)算產(chǎn)品。這些漏洞允許惡意程 序從其它程序的內(nèi)存空間中竊取信息，這意味著包括密碼、帳戶信息、 加密密鑰乃至其它一切在理論上可存儲(chǔ)于內(nèi)存中的信息均可能因此 外泄。 二、GitHub遭遇大規(guī)模 MemcachedDDoS 攻擊 2018年2月，知名代碼托管網(wǎng)站 GitHub遭遇史上大規(guī)模 MemcachedDDoS 攻擊，流量峰值高

7、達(dá) 1.35Tbps。然而，事情才 過去五天，DDoS攻擊再次刷新紀(jì)錄，美國(guó)一家服務(wù)提供商遭遇 DDoS攻擊的峰值創(chuàng)新高，達(dá)到 1.7Tbps!攻擊者利用暴露在網(wǎng)上的 Memcached 服務(wù)器進(jìn)行攻擊。網(wǎng)絡(luò)安全公司 Cloudflare的研究人 員發(fā)現(xiàn)，截止2018年2月底，中國(guó)有2.5萬Memcached 服務(wù)器 暴露在網(wǎng)上。 三、蘋果iOSiBoot源碼泄露 2018年2月，開源代碼分享網(wǎng)站 GitHub（軟件項(xiàng)目托管平 臺(tái)）上有人共享了 iPhone操作系統(tǒng)的核心組件源碼，泄露的代碼屬于 iOS安全系統(tǒng)的重要組成部分 iBoot。iBoot相當(dāng) 于是Windows電腦的BIOS系統(tǒng)。此

8、次iBoot源碼泄露可能讓數(shù)以 億計(jì)的iOS設(shè)備面臨安全威脅。iOS與MacOS系統(tǒng)開發(fā)者 JonathanLevin 表示，這是iOS歷史上最嚴(yán)重的一次泄漏事件。 四、韓國(guó)平昌冬季奧運(yùn)會(huì)遭遇黑客攻擊 2018年2月，韓國(guó)平昌冬季奧運(yùn)會(huì)開幕式當(dāng)天遭遇黑客攻 擊，此次攻擊造成網(wǎng)絡(luò)中斷，廣播系統(tǒng)（觀眾不能正常觀看直播）和奧 運(yùn)會(huì)官網(wǎng)均無法正常運(yùn)作，許多觀眾無法打印開幕式門票，最終未能 正常入場(chǎng)。 五、加密貨幣采礦軟件攻擊致歐洲廢水處理設(shè)施癱瘓 2018年2月中旬，工業(yè)網(wǎng)絡(luò)安全企業(yè) Radiflow 公司表示， 發(fā)現(xiàn)四臺(tái)接入歐洲廢水處理設(shè)施運(yùn)營(yíng)技術(shù)網(wǎng)絡(luò)的服務(wù)器遭遇加密貨 幣采礦惡意軟件的入侵。該惡意軟件直接拖垮了廢水處理設(shè)備中的 HMI服務(wù)器CPU，致歐洲廢水處理服務(wù)器癱瘓。 Radiflow公司稱，此次事故是加密貨幣惡意軟件首次對(duì)關(guān) 鍵基礎(chǔ)設(shè)施運(yùn)營(yíng)商的運(yùn)營(yíng)技術(shù)網(wǎng)絡(luò)展開攻擊。由于受感染的服務(wù)器為 人機(jī)交互（簡(jiǎn)稱HMI）設(shè)備，之所以導(dǎo)致廢水處理系統(tǒng)癱瘓