利用IPSec安全策略阻断内网违规外联（二）

2 配置实施IPSec安全策略

下面根据本文的案例要求，在内网终端上配置并实施IPSec安全策略。

2.1 配置IPSec安全策略

（1）在组策略编辑器中新建一个名为“test”的IP安全策略。

（2）在test安全策略中建立一个安全规则。注意需要将安全规则的网络类型设置为“所有网络连接”，以保证当系统中新增加网络连接设备时策略即刻生效。

（3）在安全规则中创建名为“Permit”的筛选器，放行发往信息内网的数据流量。

筛选器中的主要设置如下：

• “源地址”选项设为“我的IP地址”，以保证对所有本地IP地址生效。
• “目标地址”选项设为“一个特定的IP地址或子网”，设置为信息内网的网络地址，如10.0.0.0/8。
• “协议类型”选项设为“任何”，放行所有数据。

（4）在安全规则中创建名为“Deny”的筛选器，阻止发往外网的数据流量。筛选器中的“源地址”和“目标地址”均设置为“任何IP地址”，“协议类型”设置为“任何”，以彻底阻断与外网的所有通信。

（5）为“Permit”筛选器添加“筛选器操作”，在“筛选器操作常规选项”中选择“许可”，并将筛选器操作命名为“yes”。

（6）为“Deny”筛选器添加“筛选器操作”，在“筛选器操作常规选项”中选择“阻止”，并将筛选器操作命名为“no”。

配置好的“test”安全策略如图2所示。其中筛选器“Permit”匹配目的地址为“10.0.0.0/8”的数据流量，操作“yes”放行所有数据，用户可访问内网应用；筛选器“Deny”匹配所有数据流量，操作“no”阻止所有数据，用户不能访问任何网络。

可以看到这两条安全规则之间存在冲突，系统对此处理的原则是：筛选器操作为“允许”的安全规则优先于筛选器操作为“拒绝”的安全规则。因而当用户有发往内网的数据时，会优先匹配“Permit”规则，允许通过。

图 2 配置好的test安全策略

建好的IP安全策略必须要经过指派之后才能生效。在“test”策略上单击右键，选择“分配”，便应用了这条策略。

2.2 功能测试

配置完成后，通过ping命令对内网应用地址及互联网地址连通性进行测试。

在测试过程中，ping公网地址（域名）时收到错误信息，而ping“10.0.0.0/8”中的内网地址时可以正常ping通，测试结果如图3所示。

图 3 ping命令测试

分别使用有线网卡接入、无线网卡连接无线路由器（外网），并在测试主机上安装USB 3G上网卡接入3G网络，重复上述测试步骤，都可以得到相同的测试结果。

为进一步证实功能实现，在组策略编辑器中将“test”安全策略配置为“未分配”状态，在该状态下无论使用哪种接入方式，均能够正常ping通内网及互联网IP地址（域名）。

2.3 导入/导出IPSec安全策略

为了便于在大量主机上部署IPSec安全策略，可通过在网管主机上生成并导出安全策略，在其它主机上导入的方法实现。

安全策略的导出可通过组策略编辑器完成，在“IP安全策略”上点击右键，执行“所有任务\导出策略”，导出一个名为“test.ipsec”的策略文件。

然后将策略文件复制到目标主机，并执行导入操作。在组策略编辑器的“IP安全策略”选项中点击右键导入，选择策略文件“test.ipsec”，顺利导入并分配该策略。

使用之前的测试方法分别针对有线网卡、无线网卡及3G上网卡接入方式，在策略为“分配”状态下进行测试，均无法ping通互联网地址（域名），同时可ping通内网中的地址。

2.4 将IPSec安全策略做成批处理

为了进一步提高策略部署的简易性，可以将策略制作成批处理程序，然后放置在内网文件服务器上，由用户下载后自行运行即可。

指派策略批处理文件内容如下：

@echo off

sc config policyagent start = auto

//将Policyagent服务设置为自动启动

sc start policyagent

//启动Policyanget服务

netsh ipsec static importpolicy file = %~dp0\test.ipsec

//默认情况下Windows 7系统使用管理员身份运行程序时，系统会将当前目录切换到“system root”目录，使用“%~dp0”变量可以从解压目录中导入IPSec文件，而不会产生路径错误无法导入的问题。

netsh ipsec static set policy name = test assign = y

//指派IPSec策略，并使之生效。

pause

将文件保存成扩展名为“.bat”的批处理文件，复制到目标机上之后以管理员身份运行，可以自动生成并分配IPSec安全策略。

3 结束语

利用操作系统自身的IP安全机制，结合内网IP地址编制特点，在不借助于任何第三方软件、硬件的前提下，可有效阻止内网终端非法外联情况的发生。使用该方案在阻止内网终端非法外联的同时，不影响终端正常访问信息内网各应用。经测试该方案可部署于信息内网终端普通使用的Windows XP、Windows 7操作系统平台下。

安全策略无需用户自行编辑，只需网管人员生成策略后统一部署或集中打包放置在公共服务器上，由用户根据操作系统自行下载后自动导入。另外，使用该方法还可以满足在不具备可网管设备（三层交换机、防火墙、路由器）的条件下，实现终端系统间的访问控制，并结合批处理方式，简化了策略部署流程。

本文转自 yttitan 51CTO博客，原文链接:http://blog.51cto.com/yttitan/1435452