警告:这些 IPSec 过滤器施加的限制非常严格,会显著降低这些服务器的可管理性。您需要打开其他的端口才能启用监视、修补管理和软件更新功能。
IPSec 策略的实施不应该对服务器的性能产生显著影响。但是,在实施这些过滤器前还是应该进行测试,以验证服务器是否仍然可以维持必要的功能和性能。要支持其他应用程序,可能还需要添加其他规则。
本指南包含一个 .cmd 文件,该文件简化了依照指南要求为域控制器创建 IPSec 过滤器的过程。PacketFilters- SMTPBastionHost.cmd 文件使用 NETSH 命令创建适当的过滤器。
此脚本不会创建持久过滤器。因此,IPSec 策略代理启动之前,服务器处于无保护状态。有关构建持久过滤器或创建高级 IPSec 过滤器脚本的详细信息,请参阅模块其他成员服务器强化过程。最后,此脚本被配置为不分配它所创建的 IPSec 策略。IP 安全策略管理单元可用来检查所创建的 IPSec 过滤器,并且分配 IPSec 策略以便让其生效。
小结
堡垒主机服务器很容易暴露于外界的攻击之下。您必须尽可能的保证它们的安全,在将其可用性发挥至最大的同时,将堡 垒主机服务器面临的安全威胁降至最低。最安全的堡垒主机服务器只允许高度信任的帐户访问,并仅仅启用能够正常行使其功能所需的最少的服务。
本模块说明了规定的服务器强化设置以及为保护堡垒主机服务器所使用的过程。许多设置可通过本地组策略应用。本模块提供了配置和应用手动设置的步骤。
此外,还提供了有关创建和应用能够控制堡垒主机服务器间网络通信类型的 IPSec 过滤器的详细信息。根据企业环境中堡垒主机服务器所扮演的角色,这些过滤器可以被修改,以阻止特定类型的网络流量。
更多信息
有关构建专用网络的详细信息,请参阅由 Elizabeth D. Zwicky、Simon Cooper 和 Brent D. Chapman 共同撰写的“Firewalls and Virtual Private Networks”,其网址为: http://www.wiley.com/legacy/compbooks/press/0471348201_0 9.pdf(英文)。
有关防火墙和安全保护的详细信息,请参阅由 Chuck Semeria 撰写的“Internet Firewalls and Security-A Technology Overview”,其网址为: http://www.itmweb.com/essay534.htm(英文)。
有关“深度 防卫”模型的信息,请参阅“U.S. Military with Rod Powers”,其网址为: http://usmilitary.about.com/careers/u smilitary/library/glossary/d/bldef01834.htm(英文)。
有关入侵防护方面的信息,请参阅由 Jay Beale 撰写的“Intruder Detection Checklist”,其网址为: http://www.cert.org/tech_tips/intruder_detection_check list.html(英文)。
有关强化堡垒主机的信息,请参阅“Hardening Bastion Hosts”上的“SANS Info Sec Reading Room”,其网址为: http://www.sans.org/rr/papers/index.php? id=420(英文)。
有关堡垒主机的详细信息,请参阅“How Bastion Hosts Work”,其网址为: http://thor.info.uaic.ro/~busaco/teach/docs/intranets/c h16.htm(英文)。
有关在 Windows Server 2003 中关闭 Internet 连接防火墙的信息,请参阅知识库文章 “How TTurn On the Internet Connection Firewall Feature in Windows Server 2003”,其网址为: http://support.microsoft.com/default.aspx?scid=317530(英文) 。
有关“安全配置和分析工具”排除故障方面的信息,请参阅知识库文章“Problems After You Import Multiple Templates Into the Security Configuration and Analysis Tool”,其网址为: http://support.microsoft.com/default.aspx?scid=279125(英文) 。
http://www.hack58.net/Article/60/61/2006/7199.htm
