Windows下的安全策略包括哪些内容
所谓安全策略呢,就是在[管理工具]|[本地安全策略]|[IP安全策略]这一个工具。其实呢,在[本地安全策略]下还有很多可以设置的项,我就不详述了,这里主要是谈一个做IP安全策略,做出来,效果就像是一个防火墙。
[IP安全策略]的架构是这样的,整个策略是一个筛选列表;表里每一条记录是一个条件组对应一个动作;而一个条件组里理所当然又可以包含多个条件。设置的时候呢,先创建一个条件组(即一个IP筛选器列表),再创建一个动作(即一个筛选器操作)。在添加一个IP筛选器列表的时候,我们要为这个列表添加一个或多个筛选器(即条件组中的条件)。在创建动作的时候,则要为它指定一个安全措施,如阻止或者是允许等等。好了,架构就是这么简单,接下来我主要从以下几个方面设置IP安全策略:1、Ping;2、所有进出服务器的数据包;3、TCP/UDP过滤。
1、设置是否禁Ping包
添加一个IP筛选器列表,起名叫ICMP,这个名字你不一定要和我的起成一样,呵呵。然后添加一个筛选器,源地址为[我的IP地址],目标地址是[任何IP地址],勾选[镜像],[协议类型]选择ICMP,[描述]里面就随便写点什么,只要自己看得懂就可以了,我还是写的icmp。
添加一个筛选器操作,起名Block,阻止的意思。安全措施选择阻止即可。
好了,我们把ICMP筛选器列表和Block筛选操作对应起来,就完成了禁Ping的设置。 如果您想您的服务器可以Ping通,则可以选择操作为允许,或者干脆不设置这一条。
2、所有进出服务器的数据包
新建一列表,起名ALL,顾名思义,所有进出数据包。筛选器里源地址为[我的IP地址],目标地址是[任何IP地址],勾选[镜像],[协议类型]选择任意,[描述]里面还是随便写点什么。
把这个列表与我们刚才建立的那个Block操作对应起来,过滤掉所有的进出流量。记着这个时候,你千万不要应用这个策略,因为这时所有的进出数据包都被拦截,这台服务器现在就是“不上网”状态,如果你是远程登录服务器的,那3389也会被它干掉,你就只有去机房才能解决咯!
3、TCP/UDP过滤
先说一个TCP的过滤:
新建一列表,起名3389,嘿嘿,知道干吗用的了吧? 筛选器里源地址为[任何IP地址],目标地址是[我的IP地址],勾选[镜像],[协议类型]选择TCP,[源端口]任意,[目标端口]填3389,[描述]里面还是随便写点什么。
把它与允许操作对应起来,这样子,我们就配置开启了3389连接。这里提一下,源地址我们填的是[任何IP地址],如果你想从某一个固定的IP,或者IP段登录,你可以把[源地址]相应的调整成为一个IP或者一个子网。
类似的,你可以配置登录web80、ftp21、sql1433、mysql3306、mail25/110等等。
下面谈一个UDP的过滤:
原则上和TCP过滤差不多,只是在协议类型上选择[UDP]而已。需要用到UDP的地方主要是DNS服务器,要开启udp53端口。
做完所有的操作后,仔细检查,这一步很重要,因为即使高手,因为操作很多步,难免会有错,万一远程连不上了是件很麻烦也很糗的事儿,一定不能丢了面子。检查完毕,就可以点击IP策略之指派。大功告成!
好了,关于安全策略,我也是懂得个大概,至于怎样去发挥它的优势把服务器打造得坚如铁桶,那就是各位看官儿的事了,哈哈。