利用IPSec安全政策阻斷内網違規外聯（二）

下面根據本文的案例要求，在内網終端上配置并實施IPSec安全政策。

（1）在組政策編輯器中建立一個名為“test”的IP安全政策。

（2）在test安全政策中建立一個安全規則。注意需要将安全規則的網絡類型設定為“所有網絡連接配接”，以保證當系統中新增加網絡連接配接裝置時政策即刻生效。

（3）在安全規則中建立名為“Permit”的篩選器，放行發往資訊内網的資料流量。

篩選器中的主要設定如下：

“源位址”選項設為“我的IP位址”，以保證對所有本地IP位址生效。

“目标位址”選項設為“一個特定的IP位址或子網”，設定為資訊内網的網絡位址，如10.0.0.0/8。

“協定類型”選項設為“任何”，放行所有資料。

（4）在安全規則中建立名為“Deny”的篩選器，阻止發往外網的資料流量。篩選器中的“源位址”和“目标位址”均設定為“任何IP位址”，“協定類型”設定為“任何”，以徹底阻斷與外網的所有通信。

（5）為“Permit”篩選器添加“篩選器操作”，在“篩選器操作正常選項”中選擇“許可”，并将篩選器操作命名為“yes”。

（6）為“Deny”篩選器添加“篩選器操作”，在“篩選器操作正常選項”中選擇“阻止”，并将篩選器操作命名為“no”。

配置好的“test”安全政策如圖2所示。其中篩選器“Permit”比對目的位址為“10.0.0.0/8”的資料流量，操作“yes”放行所有資料，使用者可通路内網應用；篩選器“Deny”比對所有資料流量，操作“no”阻止所有資料，使用者不能通路任何網絡。

可以看到這兩條安全規則之間存在沖突，系統對此處理的原則是：篩選器操作為“允許”的安全規則優先于篩選器操作為“拒絕”的安全規則。因而當使用者有發往内網的資料時，會優先比對“Permit”規則，允許通過。

<a href="http://yttitan.blog.51cto.com/attachment/201407/7/70821_14047311348Dmi.png"></a>

圖 2 配置好的test安全政策

建好的IP安全政策必須要經過指派之後才能生效。在“test”政策上單擊右鍵，選擇“配置設定”，便應用了這條政策。

配置完成後，通過ping指令對内網應用位址及網際網路位址連通性進行測試。

在測試過程中，ping公網位址（域名）時收到錯誤資訊，而ping“10.0.0.0/8”中的内網位址時可以正常ping通，測試結果如圖3所示。

<a href="http://yttitan.blog.51cto.com/attachment/201407/7/70821_1404731135ywMq.png"></a>

圖 3 ping指令測試

分别使用有線網卡接入、無線網卡連接配接無線路由器（外網），并在測試主機上安裝USB 3G上網卡接入3G網絡，重複上述測試步驟，都可以得到相同的測試結果。

為進一步證明功能實作，在組政策編輯器中将“test”安全政策配置為“未配置設定”狀态，在該狀态下無論使用哪種接入方式，均能夠正常ping通内網及網際網路IP位址（域名）。

為了便于在大量主機上部署IPSec安全政策，可通過在網管主機上生成并導出安全政策，在其它主機上導入的方法實作。

安全政策的導出可通過組政策編輯器完成，在“IP安全政策”上點選右鍵，執行“所有任務\導出政策”，導出一個名為“test.ipsec”的政策檔案。

然後将政策檔案複制到目标主機，并執行導入操作。在組政策編輯器的“IP安全政策”選項中點選右鍵導入，選擇政策檔案“test.ipsec”，順利導入并配置設定該政策。

使用之前的測試方法分别針對有線網卡、無線網卡及3G上網卡接入方式，在政策為“配置設定”狀态下進行測試，均無法ping通網際網路位址（域名），同時可ping通内網中的位址。

為了進一步提高政策部署的簡易性，可以将政策制作成批處理程式，然後放置在内網檔案伺服器上，由使用者下載下傳後自行運作即可。

指派政策批處理檔案内容如下：

@echo off

sc config policyagent start = auto

//将Policyagent服務設定為自動啟動

sc start policyagent

//啟動Policyanget服務

netsh ipsec static importpolicy file = %~dp0\test.ipsec

//預設情況下Windows 7系統使用管理者身份運作程式時，系統會将目前目錄切換到“system root”目錄，使用“%~dp0”變量可以從解壓目錄中導入IPSec檔案，而不會産生路徑錯誤無法導入的問題。

netsh ipsec static set policy name = test assign = y

//指派IPSec政策，并使之生效。

pause

将檔案儲存成擴充名為“.bat”的批處理檔案，複制到目标機上之後以管理者身份運作，可以自動生成并配置設定IPSec安全政策。

利用作業系統自身的IP安全機制，結合内網IP位址編制特點，在不借助于任何第三方軟體、硬體的前提下，可有效阻止内網終端非法外聯情況的發生。使用該方案在阻止内網終端非法外聯的同時，不影響終端正常通路資訊内網各應用。經測試該方案可部署于資訊内網終端普通使用的Windows XP、Windows 7作業系統平台下。

安全政策無需使用者自行編輯，隻需網管人員生成政策後統一部署或集中打包放置在公共伺服器上，由使用者根據作業系統自行下載下傳後自動導入。另外，使用該方法還可以滿足在不具備可網管裝置（三層交換機、防火牆、路由器）的條件下，實作終端系統間的通路控制，并結合批處理方式，簡化了政策部署流程。

本文轉自 yttitan 51CTO部落格，原文連結:http://blog.51cto.com/yttitan/1435452