使用 IPsec 与组策略隔离服务器和域-附录 B:IPsec 策略摘要
2005-12-10 13:21
337 查看
此附录提供了本解决方案中使用的隔离组的所有策略设置的简洁信息列表。
本页内容
策略常规设置:
注:仅 Microsoft Windows Server™ 2003 和 Windows XP SP2 支持“高 (2048)”,Windows 2000 及 Windows XP 的更早版本将其忽略。 Windows 2000、Windows XP SP1 和更早的 IKE 兼容性可通过使用“中 (2)”来确保。
默认响应规则 = 已禁用
规则 1:
筛选器列表:“IPSEC - 群集 VIP 免除列表”
筛选器: 我的 IP 地址 <-> 一个特定的 IP 地址,镜像 – 当前为空
描述:“组织中所有群集 VIP 的 IP 地址”
筛选器操作:IPSEC-许可
身份验证:Kerberos
隧道:否
连接类型:所有
规则 2:
筛选器列表:“IPSEC - DHCP,协商通信流”
筛选器: 我的 IP 地址 <-> 任何 IP 地址,UDP,SRC 端口 68 至 DST 端口 67,镜像
描述:“允许 DHCP 协商通信”
筛选器操作:IPSEC-许可
身份验证:Kerberos
隧道:否
连接类型:所有
规则 3:
筛选器列表:“IPSEC - DNS 免除列表”
筛选器: 任何 IP 地址 <-> 192.168.1.21,镜像
任何 IP 地址 <-> 192.168.1.21,镜像
描述:“组织中所有 DNS 服务器的 IP 地址”
筛选器操作:IPSEC-许可
身份验证:Kerberos
隧道:否
连接类型:所有
规则 4:
筛选器列表:“IPSEC - 域控制器免除列表”
筛选器: 任何 IP 地址 <-> 192.168.1.21,镜像
任何 IP 地址 <-> 192.168.1.21,镜像
描述:“组织中所有 DC 的 IP 地址”
筛选器操作:IPSEC-许可
身份验证:Kerberos
隧道:否
连接类型:所有
规则 5:
筛选器列表:“IPSEC - WINS 免除列表”
筛选器: 任何 IP 地址 <-> 192.168.1.22,镜像
描述:“组织中所有 WINS 服务器的 IP 地址”
筛选器操作:IPSEC-许可
身份验证:Kerberos
隧道:否
连接类型:所有
规则 6:
筛选器列表:“IPSEC - LOB 应用程序服务器免除列表”
筛选器: 任何 IP 地址 <-> 192.168.1.10,镜像
描述:“组织中所有 LOB 服务器的 IP 地址”
筛选器操作:IPSEC-许可
身份验证:Kerberos
隧道:否
连接类型:所有
规则 7:
筛选器列表:“IPSEC - ICMP,所有通信”
筛选器: 我的 IP 地址<-> 任何 IP 地址,ICMP,镜像
描述:“允许 ICMP 通信”
筛选器操作:IPSEC-许可
身份验证:Kerberos
隧道:否
连接类型:所有
规则 8:
筛选器列表:“IPSEC - 免除地址”
筛选器: 任何 IP 地址<-> 一个特定的 IP 地址,镜像 – 当前为空
描述:“要从 IPsec 通信中免除的特定 IP 地址”
筛选器操作:IPSEC-许可
身份验证:Kerberos
隧道:否
连接类型:所有
规则 9:
筛选器列表:“IPSEC - 免除子网”
筛选器: 我的 IP 地址 <-> 一个特定的 IP 子网,镜像 – 当前为空
说明:“要从 IPsec 通信中免除的子网”
筛选器操作:IPSEC-许可
身份验证:Kerberos
隧道:否
连接类型:所有
规则 10:
筛选器列表:“IPSEC - 策略版本:(1.0.041001.1600)”
筛选器: 1.1.1.1 <-> 1.1.1.2,ICMP,镜像
说明:“不是真正的筛选器列表。 用于标识 IPsec 策略版本。”
筛选器操作:IPSEC-许可
身份验证:Kerberos
隧道:否
连接类型:所有
规则 2。 此规则允许使用非 IPsec 动态主机配置协议 (DHCP) 协商。
规则 3。 此规则允许非 IPsec 与免除列表中的域命名系统 (DNS) 系统进行通信。
规则 4。 此规则允许非 IPsec 与免除列表中的域控制器系统进行通信。
规则 5。 此规则允许非 IPsec 与免除列表中的 Windows Internet 命名服务 (WINS) 系统进行通信。
规则 6。 此规则允许非 IPsec 与免除列表中的主机进行通信。 Woodgrove Bank 为其业务应用程序服务器创建了此筛选器列表。
规则 7。 此规则允许使用非 IPsec Internet 控制消息协议 (ICMP) 通信。
规则 8。 此规则允许非 IPsec 与免除列表中的主机进行通信。 如果筛选器列表为空,则此规则不包含在策略中。
规则 9。 此规则允许非 IPsec 与免除列表中的子网进行通信。 如果筛选器列表为空,则此规则不包含在策略中。
规则 10。 此规则仅用于跟踪该策略的版本信息。 用于实施筛选器列表的筛选器是包含两个允许 ICMP 通信的特定 IP 地址的虚拟筛选器。 由于一个筛选器无法将空的筛选器列表添加至策略中,因此要求提供虚拟筛选器。
返回页首
规则 11:
筛选器列表:IPSEC – 组织子网
筛选器:任何 IP 地址 <-> 内部子网,所有通信,镜像
筛选器操作:“IPSEC – 安全请求模式(忽略入站,允许出站)”
安全措施首选顺序:ESP-null/SHA1,ESP-null/MD5,
ESP-3DES/SHA1,然后 ESP-3DES/MD5
不接受不安全的通信
允许和不支持 IPSec 的主机进行不安全的通讯
身份验证:Kerberos
隧道:否
连接类型:所有
所有其他策略设置均与此附录前面的“常规策略配置”章节中列出的内容相同。
返回页首
规则 11:
筛选器列表:IPSEC – 组织子网
筛选器:任何 IP 地址 <-> 内部子网,所有通信,镜像
筛选器操作:“IPSEC – 完全要求模式(忽略入站,不允许出站)”
安全措施首选顺序:ESP-null/SHA1,ESP-null/MD5,
ESP-3DES/SHA1,然后 ESP-3DES/MD5
不接受不安全的通信
不允许与不支持 IPsec 的主机进行不安全的通信
身份验证:Kerberos
隧道:否
连接类型:所有
所有其他策略设置均与此附录前面的“常规策略配置”章节中列出的内容相同。
返回页首
假定边界主机不是移动的,因此可以使用子网来定义其网络,并应该几乎将其作为 Windows Server 2003 安全指南中的堡垒主机进行保护。 必须对其进行高度保护,以抵御不受信任的攻击。 因此,IPsec 策略应该尽可能与减少攻击面的筛选器合并。
策略常规设置:
IKE 主模式寿命:20 分钟
规则 11:
筛选器列表:IPSEC – 组织子网
筛选器:任何 IP 地址 <-> 内部子网,所有通信,镜像
筛选器操作:“IPSEC – 请求模式(接受入站,允许出站)”
安全措施首选顺序:ESP-null/SHA1,ESP-null/MD5,
ESP-3DES/SHA1,然后 ESP-3DES/MD5
接受不安全的通信
允许和不支持 IPSec 的主机进行不安全的通讯
身份验证:Kerberos
隧道:否
连接类型:所有
所有其他策略设置均与此附录前面的“常规策略配置”章节中列出的内容相同。
返回页首
规则 11:
筛选器列表:IPSEC – 组织子网
筛选器:任何 IP 地址 <-> 内部子网,所有通信,镜像
筛选器操作:“IPSEC – 要求加密模式(忽略入站,不允许
出站)”
安全措施首选顺序:ESP-3DES/SHA1,然后 ESP-3DES/MD5
不接受不安全的通信
不允许与不支持 IPsec 的主机进行不安全的通信
身份验证:Kerberos
隧道:否
连接类型:所有
所有其他策略设置均与此附录前面的“常规策略配置”章节中列出的内容相同。
本页内容
 | 常规策略配置 |
| 隔离域策略 |
| 无回退隔离组策略 |
| 边界隔离组策略 |
| 加密隔离组策略 |
常规策略配置
本解决方案中定义的所有策略包含以下信息。策略常规设置:
| • | 策略刷新:对于测试环境部署为 5 分钟。 在生产环境中,此值应增加到 60 分钟。 60 分钟后,主机会从 Active Directory® 目录服务刷新其策略。 使用此功能,您可以对已指派的 IPsec 策略进行更改,在一个小时之内(至多)将其部署到整个组织网络,从而尽可能快速响应任何网络威胁。 |
| • | IKE 主模式寿命:3 小时。 |
| • | 每分钟会话数:0,无限。 |
| • | 主 PFS:不使用,由于其他产品不支持此功能,并为了消除重复的功能,因此在 Microsoft® Windows® Internet 密钥关联 (IKE) 中已禁用此功能。 通过将“每分钟会话数”设置为 1,可以实现相同功能。 |
| • | IKE MM 密钥交换安全措施:3DES/SHA1/高 (2048)、3DES/SHA1/中 (2)、3DES/MD5/中 (2)。 |
默认响应规则 = 已禁用
规则 1:
筛选器列表:“IPSEC - 群集 VIP 免除列表”
筛选器: 我的 IP 地址 <-> 一个特定的 IP 地址,镜像 – 当前为空
描述:“组织中所有群集 VIP 的 IP 地址”
筛选器操作:IPSEC-许可
身份验证:Kerberos
隧道:否
连接类型:所有
规则 2:
筛选器列表:“IPSEC - DHCP,协商通信流”
筛选器: 我的 IP 地址 <-> 任何 IP 地址,UDP,SRC 端口 68 至 DST 端口 67,镜像
描述:“允许 DHCP 协商通信”
筛选器操作:IPSEC-许可
身份验证:Kerberos
隧道:否
连接类型:所有
规则 3:
筛选器列表:“IPSEC - DNS 免除列表”
筛选器: 任何 IP 地址 <-> 192.168.1.21,镜像
任何 IP 地址 <-> 192.168.1.21,镜像
描述:“组织中所有 DNS 服务器的 IP 地址”
筛选器操作:IPSEC-许可
身份验证:Kerberos
隧道:否
连接类型:所有
规则 4:
筛选器列表:“IPSEC - 域控制器免除列表”
筛选器: 任何 IP 地址 <-> 192.168.1.21,镜像
任何 IP 地址 <-> 192.168.1.21,镜像
描述:“组织中所有 DC 的 IP 地址”
筛选器操作:IPSEC-许可
身份验证:Kerberos
隧道:否
连接类型:所有
规则 5:
筛选器列表:“IPSEC - WINS 免除列表”
筛选器: 任何 IP 地址 <-> 192.168.1.22,镜像
描述:“组织中所有 WINS 服务器的 IP 地址”
筛选器操作:IPSEC-许可
身份验证:Kerberos
隧道:否
连接类型:所有
规则 6:
筛选器列表:“IPSEC - LOB 应用程序服务器免除列表”
筛选器: 任何 IP 地址 <-> 192.168.1.10,镜像
描述:“组织中所有 LOB 服务器的 IP 地址”
筛选器操作:IPSEC-许可
身份验证:Kerberos
隧道:否
连接类型:所有
规则 7:
筛选器列表:“IPSEC - ICMP,所有通信”
筛选器: 我的 IP 地址<-> 任何 IP 地址,ICMP,镜像
描述:“允许 ICMP 通信”
筛选器操作:IPSEC-许可
身份验证:Kerberos
隧道:否
连接类型:所有
规则 8:
筛选器列表:“IPSEC - 免除地址”
筛选器: 任何 IP 地址<-> 一个特定的 IP 地址,镜像 – 当前为空
描述:“要从 IPsec 通信中免除的特定 IP 地址”
筛选器操作:IPSEC-许可
身份验证:Kerberos
隧道:否
连接类型:所有
规则 9:
筛选器列表:“IPSEC - 免除子网”
筛选器: 我的 IP 地址 <-> 一个特定的 IP 子网,镜像 – 当前为空
说明:“要从 IPsec 通信中免除的子网”
筛选器操作:IPSEC-许可
身份验证:Kerberos
隧道:否
连接类型:所有
规则 10:
筛选器列表:“IPSEC - 策略版本:(1.0.041001.1600)”
筛选器: 1.1.1.1 <-> 1.1.1.2,ICMP,镜像
说明:“不是真正的筛选器列表。 用于标识 IPsec 策略版本。”
筛选器操作:IPSEC-许可
身份验证:Kerberos
隧道:否
连接类型:所有
已说明的规则行为
规则 1。 此规则是将出站通信免除至群集 VIP 所必需的。 如果此服务器无需与群集 VIP 通信,则不应包含此规则。规则 2。 此规则允许使用非 IPsec 动态主机配置协议 (DHCP) 协商。
规则 3。 此规则允许非 IPsec 与免除列表中的域命名系统 (DNS) 系统进行通信。
规则 4。 此规则允许非 IPsec 与免除列表中的域控制器系统进行通信。
规则 5。 此规则允许非 IPsec 与免除列表中的 Windows Internet 命名服务 (WINS) 系统进行通信。
规则 6。 此规则允许非 IPsec 与免除列表中的主机进行通信。 Woodgrove Bank 为其业务应用程序服务器创建了此筛选器列表。
规则 7。 此规则允许使用非 IPsec Internet 控制消息协议 (ICMP) 通信。
规则 8。 此规则允许非 IPsec 与免除列表中的主机进行通信。 如果筛选器列表为空,则此规则不包含在策略中。
规则 9。 此规则允许非 IPsec 与免除列表中的子网进行通信。 如果筛选器列表为空,则此规则不包含在策略中。
规则 10。 此规则仅用于跟踪该策略的版本信息。 用于实施筛选器列表的筛选器是包含两个允许 ICMP 通信的特定 IP 地址的虚拟筛选器。 由于一个筛选器无法将空的筛选器列表添加至策略中,因此要求提供虚拟筛选器。
返回页首
隔离域策略
本部分提供了用于在 Woodgrove Bank 解决方案中创建隔离域的筛选器、筛选器操作、策略以及组策略对象 (GPO) 的详细信息。规则 11:
筛选器列表:IPSEC – 组织子网
筛选器:任何 IP 地址 <-> 内部子网,所有通信,镜像
筛选器操作:“IPSEC – 安全请求模式(忽略入站,允许出站)”
安全措施首选顺序:ESP-null/SHA1,ESP-null/MD5,
ESP-3DES/SHA1,然后 ESP-3DES/MD5
不接受不安全的通信
允许和不支持 IPSec 的主机进行不安全的通讯
身份验证:Kerberos
隧道:否
连接类型:所有
所有其他策略设置均与此附录前面的“常规策略配置”章节中列出的内容相同。
已说明的规则行为
规则 11。 此规则是策略中定义的最常规的规则。 它匹配通信量,旨在保护子网并请求协商 IPsec。 它不会接受来自不支持 IPsec 的客户端的不安全通信,但如果它发起了通信,则可以与不支持 IPsec 的客户端进行通信。返回页首
无回退隔离组策略
本部分提供了用于在 Woodgrove Bank 解决方案中创建无回退隔离组的筛选器、筛选器操作、策略以及 GPO 的详细信息。规则 11:
筛选器列表:IPSEC – 组织子网
筛选器:任何 IP 地址 <-> 内部子网,所有通信,镜像
筛选器操作:“IPSEC – 完全要求模式(忽略入站,不允许出站)”
安全措施首选顺序:ESP-null/SHA1,ESP-null/MD5,
ESP-3DES/SHA1,然后 ESP-3DES/MD5
不接受不安全的通信
不允许与不支持 IPsec 的主机进行不安全的通信
身份验证:Kerberos
隧道:否
连接类型:所有
所有其他策略设置均与此附录前面的“常规策略配置”章节中列出的内容相同。
已说明的规则行为
规则 11。 此规则是策略中定义的最常规的规则。 它匹配通信量,旨在保护子网并要求协商 IPsec。 它不允许与不支持 IPsec 的客户端进行任何通信。返回页首
边界隔离组策略
本部分提供了用于在 Woodgrove Bank 解决方案中创建边界隔离组的筛选器、筛选器操作、策略以及 GPO 的详细信息。假定边界主机不是移动的,因此可以使用子网来定义其网络,并应该几乎将其作为 Windows Server 2003 安全指南中的堡垒主机进行保护。 必须对其进行高度保护,以抵御不受信任的攻击。 因此,IPsec 策略应该尽可能与减少攻击面的筛选器合并。
策略常规设置:
IKE 主模式寿命:20 分钟
规则 11:
筛选器列表:IPSEC – 组织子网
筛选器:任何 IP 地址 <-> 内部子网,所有通信,镜像
筛选器操作:“IPSEC – 请求模式(接受入站,允许出站)”
安全措施首选顺序:ESP-null/SHA1,ESP-null/MD5,
ESP-3DES/SHA1,然后 ESP-3DES/MD5
接受不安全的通信
允许和不支持 IPSec 的主机进行不安全的通讯
身份验证:Kerberos
隧道:否
连接类型:所有
所有其他策略设置均与此附录前面的“常规策略配置”章节中列出的内容相同。
已说明的规则行为
规则 11。 此规则是策略中定义的最常规的规则。 它匹配通信量,旨在保护子网并请求协商 IPsec。 它接受来自不支持 IPsec 的客户端的通信,并发起通信到上述客户端。返回页首
加密隔离组策略
本部分提供了用于在 Woodgrove Bank 解决方案中创建加密隔离组的筛选器、筛选器操作、策略以及 GPO 的详细信息。规则 11:
筛选器列表:IPSEC – 组织子网
筛选器:任何 IP 地址 <-> 内部子网,所有通信,镜像
筛选器操作:“IPSEC – 要求加密模式(忽略入站,不允许
出站)”
安全措施首选顺序:ESP-3DES/SHA1,然后 ESP-3DES/MD5
不接受不安全的通信
不允许与不支持 IPsec 的主机进行不安全的通信
身份验证:Kerberos
隧道:否
连接类型:所有
所有其他策略设置均与此附录前面的“常规策略配置”章节中列出的内容相同。
已说明的规则行为
规则 11。 此规则是策略中定义的最常规的规则。 它匹配通信量,旨在保护子网并要求协商加密 IPsec。 它不允许与不支持 IPsec 的客户端进行任何通信。
内容来自用户分享和网络整理,不保证内容的准确性,如有侵权内容,可联系管理员处理 
相关文章推荐
- 使用 IPsec 与组策略隔离服务器和域-附录 A:IPsec 策略概念概述
- 使用 IPsec 与组策略隔离服务器和域-附录 C:实验室构建指南
- 使用 IPsec 与组策略隔离服务器和域-第 6 章:管理服务器和域隔离环境
- 使用 IPsec 与组策略隔离服务器和域-致谢
- 使用 IPsec 与组策略隔离服务器和域-第3 章:确定 IT 基础结构的当前状态
- 使用 IPsec 与组策略隔离服务器和域 【索引】
- 使用 IPsec 与组策略隔离服务器和域
- 使用 IPsec 与组策略隔离服务器和域-概述
- 安全系列之五:使用IPSec和组策略实现网络隔离(上) 推荐
- Nginx在局域网中使用ip_hash负载均衡策略,访问全部分发到同一个后台服务器
- 开源WebSocket服务器项目CshBBrain中NIO Buffer的使用策略
- 安全工具netsh IPSec使用方法[ip安全策略]
- 阿里云服务器上使用iptables设置安全策略
- 阿里云服务器上使用iptables设置安全策略