5.5.2 IPSec策略创建防火墙

5.5.2 IPSec策略创建防火墙
IP筛选器，包含于IP Security（IPSec）中，是Windows 2000以后操作系统中新加入的技术。工作原为：当接收到一个IP数据包时，IP筛选器使用其头部在一个规则表中进行匹配。当找到一个相匹配的规则时，IP筛选器就按照该规则制定的方法对接收到的IP数据包进行处理。处理方式为丢弃或转发。
由于IP筛选器属于IPSec的一部分，在使用及配置IP筛选器前需要保证IPSEC服务的正常运行。
下面介绍在域控制器上如何使用IPSec建立防火墙。分为以下几步骤。
 创建IP筛选器。
 创建IP筛选器操作。
 创建IP安全规则。
 创建IP安全策略。
 指派IP安全策略。
1．创建IP筛选器
选择“开始”→“管理工具”→“域控制器安全策略”命令，显示“默认域控制器安全策略设置”窗口。依次展开“Windows设置”→“安全设置”→“IP安全策略，在Active Directory（book.com）”，显示如图5-51所示的窗口。
默认窗口显示3种预定义的策略项：客户端、服务器、安全服务器。在每个预定义的策略的描述中详细解释了该策略的操作原则。如果想要修改系统预定义的策略细节，可以右击相应的策略并选择“属性”选项进行修改。
右击“IP安全策略，在Active Directory（book.com）”，在弹出的快捷菜单中选择“创建管理IP筛选器表和筛选器操作”命令，显示“管理IP筛选器表和筛选器操作”对话框，如图5-52所示。

切换到“管理IP筛选器列表”选项卡，单击“添加”按钮，显示“IP筛选器列表”对话框，如图5-53所示。
在“名称”文本框中输入筛选器名称，便于与其他IP筛选器区别，例如，IPSec域控制器防火墙策略，在“描述”文本框中输入此IP筛选器的意义和作用，便于日后查看和审核。
单击“添加”按钮，显示如图5-54所示的“IP筛选器向导”对话框。

单击“下一步”按钮，显示如图5-55所示的“IP筛选器描述和镜像属性”。

在默认情况下，IP筛选器的作用是单向的，比如源地址为A，目标地址为B，则防火墙只对A→B的数据包起作用，对B→A的数据包则略过不计。选中“镜像”复选框，则防火墙对A→B的双向流量都进行处理（相当于一次添加了两条规则）。
在“镜像”下，选择适当的设置，如表5-2所示。

单击“下一步”按钮，显示如图5-56所示的“IP通信源”对话框。在“源地址（S）”下拉列表框中选择“任何IP地址”。

源地址的选择如表5-3所示。

如果选中“一个特定的DNS名称”，在“主机名”文本框中输入主机名称，例如XXX.com，如图5-57所示。
单击“下一步”按钮，显示如图5-58所示的“IP通信目标”对话框，在“目标地址”下拉列表中选择“我的IP地址”选项。

单击“下一步”按钮，显示如图5-59所示的“IP协议类型”对话框，在“选择协议类型”下拉列表中选择“TCP”选项。
【说明】 如果在“选择协议类型”下拉列表中，选中“任意”选项，单击“下一步”按钮，直接转到“第10步”操作步骤。

“选择协议类型”的设置如表5-4所示。

“选择协议类型”选择策略如下。
如果选择了TCP或UDP，还可以通过目标端口筛选数据包。
要筛选从选定协议类型所用的任意端口上发送的数据包，可选择“从任意端口”项。
要筛选从选定协议类型所用的特定端口上发送的数据包，可选择“从此端口”单选按钮，然后输入端口号。
要筛选从选定协议类型所用的任意端口上接收的数据包，可选择“到任意端口”单选按钮。
要只筛选在指定的端口号上接收的数据包，可选择“到此端口”单选按钮。
单击“下一步”按钮，显示如图5-60所示的“IP协议端口”对话框，在“设置IP协议端口”栏中选择“从任意端口”→“到任意端口”选项。
单击“下一步”按钮，显示如图5-61所示的“正在完成IP筛选器向导”对话框。

单击“完成”按钮，显示如图5-62所示的“IP筛选器列表”对话框。
单击“确定”按钮，关闭“IP筛选器列表”对话框。名称为“IPSec域控制器防火墙策略”的IP筛选器将显示在“IP筛选器列表”中，如图5-63所示。

2．创建IP筛选器操作
在“管理IP筛选器表和筛选器操作”对话框中，切换到“管理筛选器操作”选项卡，如图5-64所示。
单击“添加”按钮，显示如图5-65所示的“筛选器操作向导”对话框。

单击“下一步”按钮，显示如图5-66所示的“筛选器操作名称”对话框。在“名称”文本框输入“IPSec域控制器防火墙策略”。
单击“下一步”按钮，显示如图5-67所示的“筛选器操作常规选项”对话框，选择筛选器操作类型，本例中选择操作类型是“阻止”。

筛选器操作类型具体内容如下。
许可—允许以纯文本方式接收或发送数据包，不要求对这些数据包提供安全措施。
阻止—丢弃数据包，不要求对这些数据包提供安全措施。
协商安全—可使用“安全措施首选顺序”中的安全措施列表为数据包提供安全性，这些数据包的安全请求将被接受。
单击“下一步”按钮，显示如图5-68所示的“正在完成IP安全筛选器操作向导”对话框。
单击“确定”按钮，即可完成创建该策略，设置完成的结果如图5-69所示。

单击“关闭”按钮，关闭“管理IP筛选器表和筛选器操作”对话框。
3．创建IP安全策略
在“默认域控制器安全策略设置”窗口中，右击“IP安全策略，在Active Directory（book.com）”选项，在弹出的快捷菜单中选择“创建IP安全策略”命令，显示如图5-70所示的“欢迎使用IP安全策略向导”对话框。
单击“下一步”按钮，显示如图5-71所示的“IP安全策略名称”对话框，输入合适的并且容易记忆的IP安全策略名称。本例中设置为“IPSec域控制器防火墙策略”，“描述”文本框中输入对该安全策略的相应介绍。

单击“下一步”按钮，显示如图5-72所示的“安全通信请求”对话框，取消“激活默认响应规则”复选框。
单击“下一步”按钮，显示如图5-73所示的“正在完成IP安全策略向导”对话框，选择“编辑属性”复选框。

单击“完成”按钮，显示如图5-74所示的“IPSec域控制器防火墙策略属性”对话框。

4．设置IP安全规则
用户在设置IP安全规则时，应当注意以下几个方面的问题。
要定义基于Active Directory的IPSec策略，必须具有“组策略”管理权限。要管理计算机的本地或远程IPSec策略，必须是本地或远程计算机Administrators成员。
当成功添加了新规则后，新规则将自动应用于正在创建或编辑的策略。在“IP安全策略”中，策略规则基于为每一规则选择的筛选器列表的名称以相反的字母顺序显示。需要注意的是，目前还没有方法能够指定应用于策略中规则的顺序。IPSec会根据从最具体的筛选器列表到最不具体的筛选器列表进行自动排序。例如，IPSec将一条规则置于另一条规则之上，前者包含指定单个IP地址与TCP端口的筛选器列表，而后者则包含指定子网内所有地址的筛选器列表。
自动在每个新的IPSec策略中，添加（并在选择后激活）默认响应规则。如果不希望此规则成为的策略的一部分，可通过清除“动态”旁边的复选框取消激活该规则，默认响应规则不能删除。
在已经创建的“IPSec域控制器防火墙策略 属性”对话框中，单击“添加”按钮，显示如图5-75所示的“安全规则向导”对话框。
单击“下一步”按钮，显示如图5-76所示的“隧道终结点”对话框，选择“此规则不指定隧道”单选按钮。

“指定IP安全规则的隧道终结点”各选项的含义如下。
如果想要禁用该规则的隧道，则选择“此规则不指定IPSec隧道”单选按钮。
如果想对特定隧道终结点使用隧道通信，则选择“隧道终点由下列IP地址指定”单选按钮，并输入隧道终点的IP地址。
【说明】 因为无法为隧道通信镜像筛选器，所以必须配置两个规则，一个规则用于出站通信，另一个规则用于进站通信。对于出站通信规则，隧道终点是在隧道另一端的计算机的IP地址。对于进站通信规则，隧道终点是本地计算机上所配置的IP地址。
单击“下一步”按钮，显示如图5-77所示的“网络类型”对话框，选择“所有网络连接”单选按钮。

“选择网络类型”选项各项含义如下。
选择“所有网络连接”单选按钮，可以将此规则应用到在该计算机中创建的所有网络连接。
选择“局域网（LAN）”单选按钮，可以将此规则应用到在该计算机中创建的所有LAN连接。
选择“远程访问”单选按钮，可以将此规则应用到在该计算机中创建的所有远程或拨号连接。
单击“下一步”按钮，显示如图5-78所示的“IP筛选器列表”对话框，选择“IP筛选器列表”中“IPSec哉控制的防火墙策略”单选按钮。
单击“下一步”按钮，显示如图5-79所示的“筛选器操作”对话框，选择“筛选器操作列表”中“IPSec域控制的防火墙策略“单选按钮。

单击“下一步”按钮，显示如图5-80所示的“正在完成安全规则向导”对话框。取消选择“编辑属性”复选框，单击“确定”按钮，完成IP安全规则设置。
5．指派IP安全策略
默认情况下，创建的任何IPsec安全策略都没有被指派，打开“默认域控制器安全策略设置”窗口，在右侧的“策略已指派”列中，标识为“否”，如图5-81所示。

在组策略编辑器中，右击新创建的“IPSec域控制器防火墙策略”安全策略，在弹出的快捷菜单中选择“指派”命令，即可执行指派操作。
在右边的空白处右击，从快捷菜单中选择“刷新”命令，刷新发出策略。策略的“策略已指派”字段标识，更新成为“是”，说明该策略指派成功，如图5-82所示。
6．策略测试
IPSec域控制器防火墙策略在没有指派前，当前的域控制器可以正常访问互联网，例如，访问http://www.sina.com.cn，显示如图5-83所示的窗口。

IPSec域控制器防火墙策略指派后，当前的域控制器不能正常访问互联网，例如，访问http://www.sina.com.cn，显示如图5-84所示的窗口，IPSec域控制器防火墙策略生效。