利用IPSec安全策略阻断内网违规外联(二)

  1. 云栖社区>
  2. 博客>
  3. 正文

利用IPSec安全策略阻断内网违规外联(二)

科技小能手 2017-11-16 22:32:00 浏览1508
展开阅读全文

2 配置实施IPSec安全策略

下面根据本文的案例要求,在内网终端上配置并实施IPSec安全策略。

2.1 配置IPSec安全策略

(1)在组策略编辑器中新建一个名为“test”的IP安全策略。

(2)在test安全策略中建立一个安全规则。注意需要将安全规则的网络类型设置为“所有网络连接”,以保证当系统中新增加网络连接设备时策略即刻生效。

(3)在安全规则中创建名为“Permit”的筛选器,放行发往信息内网的数据流量。

筛选器中的主要设置如下:

  • “源地址”选项设为“我的IP地址”,以保证对所有本地IP地址生效。
  • “目标地址”选项设为“一个特定的IP地址或子网”,设置为信息内网的网络地址,如10.0.0.0/8。
  • “协议类型”选项设为“任何”,放行所有数据。

(4)在安全规则中创建名为“Deny”的筛选器,阻止发往外网的数据流量。筛选器中的“源地址”和“目标地址”均设置为“任何IP地址”,“协议类型”设置为“任何”,以彻底阻断与外网的所有通信。

(5)为“Permit”筛选器添加“筛选器操作”,在“筛选器操作常规选项”中选择“许可”,并将筛选器操作命名为“yes”。

(6)为“Deny”筛选器添加“筛选器操作”,在“筛选器操作常规选项”中选择“阻止”,并将筛选器操作命名为“no”。

配置好的“test”安全策略如图2所示。其中筛选器“Permit”匹配目的地址为“10.0.0.0/8”的数据流量,操作“yes”放行所有数据,用户可访问内网应用;筛选器“Deny”匹配所有数据流量,操作“no”阻止所有数据,用户不能访问任何网络。

可以看到这两条安全规则之间存在冲突,系统对此处理的原则是:筛选器操作为“允许”的安全规则优先于筛选器操作为“拒绝”的安全规则。因而当用户有发往内网的数据时,会优先匹配“Permit”规则,允许通过。

image

图 2 配置好的test安全策略

建好的IP安全策略必须要经过指派之后才能生效。在“test”策略上单击右键,选择“分配”,便应用了这条策略。

2.2 功能测试

配置完成后,通过ping命令对内网应用地址及互联网地址连通性进行测试。

在测试过程中,ping公网地址(域名)时收到错误信息,而ping“10.0.0.0/8”中的内网地址时可以正常ping通,测试结果如图3所示。

image

图 3 ping命令测试

分别使用有线网卡接入、无线网卡连接无线路由器(外网),并在测试主机上安装USB 3G上网卡接入3G网络,重复上述测试步骤,都可以得到相同的测试结果。

为进一步证实功能实现,在组策略编辑器中将“test”安全策略配置为“未分配”状态,在该状态下无论使用哪种接入方式,均能够正常ping通内网及互联网IP地址(域名)。

2.3 导入/导出IPSec安全策略

为了便于在大量主机上部署IPSec安全策略,可通过在网管主机上生成并导出安全策略,在其它主机上导入的方法实现。

安全策略的导出可通过组策略编辑器完成,在“IP安全策略”上点击右键,执行“所有任务\导出策略”,导出一个名为“test.ipsec”的策略文件。

然后将策略文件复制到目标主机,并执行导入操作。在组策略编辑器的“IP安全策略”选项中点击右键导入,选择策略文件“test.ipsec”,顺利导入并分配该策略。

使用之前的测试方法分别针对有线网卡、无线网卡及3G上网卡接入方式,在策略为“分配”状态下进行测试,均无法ping通互联网地址(域名),同时可ping通内网中的地址。

2.4 将IPSec安全策略做成批处理

为了进一步提高策略部署的简易性,可以将策略制作成批处理程序,然后放置在内网文件服务器上,由用户下载后自行运行即可。

指派策略批处理文件内容如下:

@echo off

sc config policyagent start = auto

//将Policyagent服务设置为自动启动

sc start policyagent

//启动Policyanget服务

netsh ipsec static importpolicy file = %~dp0\test.ipsec

//默认情况下Windows 7系统使用管理员身份运行程序时,系统会将当前目录切换到“system root”目录,使用“%~dp0”变量可以从解压目录中导入IPSec文件,而不会产生路径错误无法导入的问题。

netsh ipsec static set policy name = test assign = y

//指派IPSec策略,并使之生效。

pause

将文件保存成扩展名为“.bat”的批处理文件,复制到目标机上之后以管理员身份运行,可以自动生成并分配IPSec安全策略。

 

3 结束语

利用操作系统自身的IP安全机制,结合内网IP地址编制特点,在不借助于任何第三方软件、硬件的前提下,可有效阻止内网终端非法外联情况的发生。使用该方案在阻止内网终端非法外联的同时,不影响终端正常访问信息内网各应用。经测试该方案可部署于信息内网终端普通使用的Windows XP、Windows 7操作系统平台下。

安全策略无需用户自行编辑,只需网管人员生成策略后统一部署或集中打包放置在公共服务器上,由用户根据操作系统自行下载后自动导入。另外,使用该方法还可以满足在不具备可网管设备(三层交换机、防火墙、路由器)的条件下,实现终端系统间的访问控制,并结合批处理方式,简化了策略部署流程。


本文转自 yttitan 51CTO博客,原文链接:http://blog.51cto.com/yttitan/1435452


网友评论

登录后评论
0/500
评论
科技小能手
+ 关注